用时:34ms

互联网报告-PDF版

您的当前位置:首页 > 互联网
  • 亚信安全:2024云安全技术发展白皮书(72页).pdf

    1云安全技术发展白皮书云安全技术发展白皮书导读.11.年云计算安全威胁演进.41.1 安全事件层出不穷.41.2 云上资产激增扩大攻击面.51.3 云原生环境的安全险日益增加.71.4 漏洞威胁持续涌.

    浏览量16人已浏览 发布时间2024-05-24 72页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • CSA GCR:2024年ChatGPT的安全影响研究报告(55页).pdf

    2023 云安全联盟大中华区版权所有1 2023 云安全联盟大中华区版权所有22023 云安全联盟大中华区-保留所有权利。本文档发布在云安全联盟大中华区官网(http:/www.c-),您可在满足如.

    浏览量12人已浏览 发布时间2024-05-24 55页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 德勤&用友:2024国资国企数智化转型白皮书(105页).pdf

    激活数智新动能打造新质生产力国资国企数智化转型白皮书2024年4月目录第一章 万象更新国资国企数智化转型新形势 三年行动成效多维 国资授权体制创新 全球价值链条重构 对标一流积极应对 数字经济整体布局.

    浏览量48人已浏览 发布时间2024-05-24 105页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 体验家XMPlus:2024客户体验管理行业洞察报告-SaaS篇(44页).pdf

    客体验管理业洞察报告SaaS篇2023序Salesforce的第11号员、前营销总监和策略总监?Tien Zuo在他的订阅经济书中指出:“我们必须重新评估软件公司的价值定位,改变最根本的问题:从原本的.

    浏览量42人已浏览 发布时间2024-05-23 44页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • Convertlab荟聚:2024数字化运营增长指南3.0-企业数字化案例深度解析(163页).pdf

    数字化运营 增长指南 3.0企业数字化案例深度解析20+全行业案例AI营销场景设计运营最佳实践集序 言增长是企业的最终目标,AI是未来5年最重要的营销生产力。2015年,我在中国创办了Convertl.

    浏览量56人已浏览 发布时间2024-05-23 163页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 清华大学&华为:2023年全球DDoS攻击现状与趋势分析报告(47页).pdf

    华为网络安全官网2023年全球DDoS攻击现状与趋势分析天翼安全科技有限公司、联通数科安全、百度安全、Nexusguard、中国移动云能力中心、中国移动卓望公司、清华大学、华为联合发布2023年全球D.

    浏览量17人已浏览 发布时间2024-05-22 47页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 传媒互联网行业“他山”系列(一):Reddit(RDDT)“美版贴吧”的价值挖掘-240516(27页).pdf

    证券研究报告 *请务必阅读最后一页克责声明 01 证券研究报告 *请务必阅读最后一页克责声明 2024年5月16日“他山”系列(一):Reddit(RDDT)“美版贴吧”的价值挖掘 民生传媒互联网团队.

    浏览量13人已浏览 发布时间2024-05-20 27页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 天际友盟:2024供应链安全态势报告(13页).pdf

    双子座实验室2024-042024供应链安全态势报告2024 供应链安全态势报告P3 引言P4 供应链攻击事件及特点P9 供应链安全态势P11 供应链攻击防范措施P12 附录contents目录3引言.

    浏览量42人已浏览 发布时间2024-05-18 13页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • IMA:2024数字经济下的商业模式转型与风险管理背景分析报告(58页).pdf

    数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析2IMA 管理会计师协会(The Institute of Management Accountants,简称 IMA)成立于 1919 年,是全球领先的国际管理会计师组织,为企业内部的管理和财务专业人士提供最具有含金量的资格认证和高质量的服务。作为全球规模最大,最受推崇的专业会计师协会之一,IMA 恪守为公共利益服务的原则,致力于通过开展研究、CMA 认证、继续教育、相关专业交流以及倡导最高职业道德标准等方式,转变传统财务领域的思维模式,服务全球财务管理行业,从而推动企业优化绩效,成就个人职业发展。IMA 在 150 个国家和地区拥有规模超过 140,000 名 CMA 考生及持证者,以及 300 多个分会和精英俱乐部。IMA 的总部位于美国新泽西州的蒙特维尔市,将全球划分为四个区域,美洲、亚太、欧洲以及中东/印度,提供本地化服务。了解详情,请访问 IMA 管理会计师协会网站:https:/依托厦门大学管理学院和会计学系,厦门大学管理会计研究中心于 2015 年在财政部大力推动管理会计的形势下成立。厦门大学会计系是现代中国管理会计的起源地,长期以来始终引领、推动和发展中国管理会计的学科研究和应用教育,具有优良的学术传统和社会声誉,在国内外具有广泛的影响。厦门大学余绪缨教授在改革开放之初将现代管理会计引入中国,在创建具有中国特色的现代管理会计理论和方法体系以及开拓“广义管理会计体系”等方面,做出了重要贡献,被誉为中国管理会计的开拓者和奠基人。中心目标是:继承和发扬厦门大学在管理会计领域的研究地位和研究传统,兼具开放性和国际化,建设成为在国内理论研究、政府政策咨询和企业管理会计实践具有重要影响力,同时与国际管理会计组织、国外著名院校和研究机构保持密切联系的管理会计研究机构。了解详情,请访问厦门大学管理会计研究中心网站:https:/ Review of Accounting 匿名审稿人,全球特许管理会计师北亚区智库专家(CGMA100)。IMA学术顾问委员会委员,中国总会计师协会管理会计专家、福建省财政厅管理会计咨询专家,中国电子协会智能财务分会研究员,中国高校创新创业教育联盟共享财务专委会智能财务研究员。厦门大学管理学院共享财务实验项目负责人。曾任厦门大学会计系副主任。2000 年加拿大圣玛丽大学访问学者(CIDA)。2017 年加拿大毅伟商学院访问学者(CCSEP)。负责慕课的管理会计获得首批国家一流本科课程(在线课程)。2023 年负责的技术赋能,故事激趣管理会计慕课创新应用被评为福建省慕课十年典型案例(特等奖),并入选高校在线开放课程联盟联席会慕课十年典型案例。曾长期从事注册会计师业务,为企业及企业集团提供审计和公司治理风险管控等管理咨询服务与实战。与企业合作开展各种案例调研合作,主要从事管理会计研究,目前主要为企业集团预算管理与风险管控设计、财务共享、智能财务等方面研究、咨询与服务。已出版环境管理会计、注册会计师法律责任、CGMA 管理会计案例集、智能技术驱动下财务共享模式创新与应用实践研究等专著,并在国内外公开发表数十篇学术论文。孙姝慧,厦门大学管理学院,硕士,俞静,厦门大学管理学院,硕士,宫瑶瑶,中兴通讯股份有限公司,硕士,唐雨心,厦门大学管理学院,硕士,缪雨佳,厦门大学管理学院,硕士, 蓝丽娟,厦门大学管理学院,硕士,IMA 研究团队单雨飞,CMA、CPA、CFE、CSCA、PMP,IMA 中国研究与知识总监姚树浩,CMA、CSCA,前 IMA 中国研究经理数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析4摘要当前数字经济迅速发展,新数字产业形态不断涌现。企业数字化转型已成为必然。并且演进到了商业模式的数字化转型时代。商业模式阐述企业创造价值的基本原理,随着互联网经济的产生而日益为人们所关注。在数字化技术驱动下,各种商业模式创新实践层出不穷,给企业带来新的机会和挑战。成功的商业模式帮助企业获取竞争优势,然而,失败的商业模式可能给企业带来严重后果。数字经济时代商业模式转型与创新能否成功,不仅在于合理选择创新路线与形式,也要把握创新过程的风险管理。报告包含上篇、中篇和下篇三个部分:第一部分为背景与理论分析,探讨数字经济时代商业模式转型与风险管理的背景,展开文献回顾与理论分析,构造了数字化商业模式转型的框架,第二部分通过企业案例就数字化商业模式的转型展开分析。第三部分讨论数字化商业模式创新战略与风险管理问题。围绕本报告的主要结论是:1.数字经济已经成为经济发展的主动力,并使经营环境发生了巨大改变。企业的商业模式,或多或少地发生了变革或调整,以适应竞争的要求。数字化商业模式多种多样。2.全球化新趋势和技术变革,极大地影响着企业经营的商业环境,国家政策的支持,行业自身的竞争与发展,推动着企业不断进行商业模式的创新。商业模式创新,可以在现有的业务线展开,也可能通过建立新的业务线来实现。创新过程,可以体现为顾客价值主张调整,强化顾客关系,也可以体现为价值链的再造。企业可以同时执行多个商业模式。3.数字化商业模式创新过程存在风险。企业管理者需要以战略眼光来看到创新过程的风险管理问题。积极主动发现创新的机会展开创新,创新战略应与商业模式创新程度相匹配。企业可采取相应的风险管理手段来对其实施全过程风险管理。关键词:数字经济 商业模式创新 转型 风险管理数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析5目录摘要.4第一章引言.7一、数字经济时代的企业转型.7二、商业模式的重要性与商业模式转型.9三、数字经济时代商业模式转型及风险管理的重要性.11(一)数字时代商业模式创新与数字化转型.11(二)商业模式转型的风险管理.12四、研究问题的提出.12五、研究方法与研究设计.13第二章文献综述.15一、关于商业模式含义的研究.15(一)作业观.15(二)价值创造观.15(三)商业逻辑观.16二、关于商业模式框架的研究.19(一)基于企业运营的商业模式框架.19(二)围绕价值的商业模式框架.20(三)综合企业运营与价值创造的商业模式框架.20三、关于商业模式分类的研究.22(一)基于收入来源的视角.22(二)基于企业运营的视角.23(三)基于价值链视角.23(四)其他.23数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析6第三章数字化商业模式创新的理论分析.24一、战略管理视角下的商业模式.24二、商业模式理论框架.24(一)商业模式画布.24(二)价值三角模型.26(三)商业模式四要素模型.26三、商业模式创新理论框架.29(一)战略视角的商业模式创新含义及特点.29(二)商业模式创新的重要性.30(三)基于创新维度和程度的商业模式创新的分类.31(四)基于价值创造逻辑的商业模式创新 .32(五)商业模式创新分析框架.33四、数字经济时代商业模式创新的理论框架.35(一)数字化商业模式、数字化商业模式创新含义与特征.35(二)数字化商业模式要素的特征及未来发展趋势.37(三)数字经济下商业模式创新的核心维度.38(四)数字化商业模式创新综合分析框架.45参考文献.47数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析7第一章引言一、数字经济时代的企业转型随着互联网、云计算、区块链、大数据、物联网、人工智能等新兴技术的不断发展以及与各行各业的不断深度融合,全球数字化进程迈入了一个新的阶段,以数字技术为代表的数字经济正式进入时代舞台,数字化与数字化转型逐渐成为企业与学者关注的焦点。数字经济一词最早出现于二十世纪九十年代,“数字经济之父”唐泰普斯科特(Don Tapscott)在其著作数字经济:网络智能时代的前景和危险中提出了“数字经济”这一术语1,概括总结了数字经济的 12 个特征,但并未直接给出数字经济的具体定义。之后,不同研究者对数字经济定义、内涵以及特征等认识不同,其对数字经济的界定也不尽相同。当前,较为权威的是二十国集团数字经济发展与合作倡议对数字经济的定义2:“数字经济是指以使用数字化的知识和信息作为关键生产要素、以现代信息网络作为重要载体、以信息通信技术的有效使用作为效率提升和经济结构优化的重要推动力的一系列经济活动”。数字经济具体包括数字产业化、产业数字化、数字化治理和数据价值化四部分3(如图 1-1)。目前,数字经济在各行各业中的应用,不仅促进了传统产业开始数字化转型、解放生产力从而提高企业的生产效率,而且还创造出了大批新型产业形态,是在信息时代提高自身核心竞争力的主要途径。图 1-1:数字经济的“四化框架”资料来源:中国信息通讯研究院中国数字经济发展白皮书(2022)p1数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析8党的十八大以来,党中央高度重视发展数字经济,将其上升为国家战略。我国数字经济将转向深化应用、规范发展、普惠共享的新阶段。目前,我国已形成了横向联动、纵向贯通的数字经济战略体系。党中央国务院对发展数字经济形成系统部署,数字经济顶层战略规划体系渐趋完备,行业与地方形成落实相关战略部署的系统合力,我国数字经济发展已具备较强的政策制度优势。因此,数字经济正在迅速发展壮大,数字中国、智慧社会已初现雏形。数字化给社会发展带来前所未有的机遇与挑战。特别是新冠肺炎疫情爆发以来,数字经济发挥着宏观经济的“加速器”、“稳定器”的作用,不仅极大地方便了人们的工作生活,而且助力企业复工复产,成为中国经济增长的新引擎。图 1-2:2016-2021 我国年数字经济规模(万亿元)资料来源:中国信息通讯研究院中国数字经济发展白皮书(2022)p5根据中国信息通讯研究院中国数字经济发展白皮书(2022),我国数字经济规模呈逐年上升趋势。2021 年数字经济规模达到 45.5 万亿元,较“十三五”初期扩张了 1 倍多,同比名义增长 16.2%,高于 GDP 名义增速 3.4 个百分点,占 GDP 比重达到 39.8%(如图 1-2),数字经济已成为稳增长的强大力量。我国经济发展新动能继续壮大,新产业、新业态、新商业模式加快成长。“十四五”时期,我国数字经济转向深化应用、规范发展、普惠共享的新阶段。应对新形势新挑战,把握数字化发展新机遇,拓展经济发展新空间,推动我国数字经济健康发展为企业带来机遇的同时,也带来了新的任务与挑战。因此企业在当前环境下如何保持竞争优势,成为学者和企业家关注的重点。波特的战略理论体系观点是,企业的管理选择与其最初的环境、资源、能力等因素构成了企业发展的驱动力,这些驱动力决定着企业的经营生产成本、产品和服务的差异,进而决定了企业的竞争优势。因此为适应数字经济的大环境,企业必须进行转型和创新。Gartner(2017)指出,传统企业向数字化转型升级的必要性日益凸显。但单纯的技术创新或产品创新已经无法保证企业获得超额经济回报;而积极参与数字化生态系统建设,是卓越企业差异化的因素之一4。目前超过 50%的中国 1000数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析9图 1-3:数字化转型的演进资料来源:(Saul J.Berman and Ragna Bell:Digital transformation-Creating new business models where digital meets physical,IBM Institute for Business Value,2011)p2强企业已经把数字化转型作为战略核心5。根据埃森哲企业数字化转轨模型,商业模式是企业数字化转型过程中的一环6。从 2010 年起,企业的数字化转型,就演进到商业模式的数字化转型时代(如图 1-3)7。企业要提升竞争优势以使自身在新经济下保持可持续发展而不被淘汰甚至脱颖而出,需要进行商业模式创新。但是现实中追求商业模式创新导致失败的公司比比皆是,即便是商业领先者也可能惨遭滑铁卢。例如数字经济催生出共享单车商业模式,其缔造者 OFO 却陷入债务风波早已倒闭。1990s 末有限数字产品和基础设施 数字产品(如音乐、娱乐)基础设施(如电信、软件、信息技术)数字分销和网络战略 网络战略和电子商务(如零售、电子产品)通过网络提高效率战略(例如政府)商业模式的数字化转型*移动通信革命 社交媒体“超数字化”分析力职能、行业、地域经济影响程度广泛2000s2010s由于社会经济环境的变化,当前数字化研究涵盖各个领域,而数字化转型多集中于企业商业模式转型研究。商业模式转型得当,企业可以把握数字经济风口获得快速成长,把握不当,则可能陷入困境。因此,数字化商业模式转型与风险管理这一问题十分具有现实意义,能够帮助企业在瞬息万变的数字化时代更好地“摸着石头过河”,成功实现商业模式转型。二、商业模式的重要性与商业模式转型商业模式,是管理学的重要研究对象之一。商业模式描述了企业如何创造价值,传递价值和获取价值的基本原理8。商业模式也是解释企业如何运作的故事,包括他们如何赚钱以及如何以适当的成本为客户提供价值9。对于其含义,存在不同角度不同理论的解释。在实务中,人们对其表述也各不相同,不过其核心关乎企业如何创造价值,如何实现持久竞争优势。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析10在实践中,商业模式的源头可以追溯至远古,伴随人类商业活动的出现而萌芽,近代意义的商业模式的变革期发生于 1970-1990 期间,伴随社会经济的发展,新的商业模式不断涌现10。理论上尽管在 20 世纪 50 年代就有人提出了商业模式的概念,但是,直到上个世纪末随着互联网经济的产生,这个概念才为理论和实务界所普遍关注。当时,人们应用商业模式概念来解释互联网产业如何利用技术创造价值和与利益关系人共享价值,雅虎、亚马逊、谷歌等日后互联网巨头纷纷创立于此时。在这一时期,商业模式的概念与研究也成为时代热潮,但这股热潮仅仅延续至 21 世纪初,伴随着 2001 年网络泡沫的崩溃,商业模式的发展陷入低谷,其概念一度被认为将会同其他经营用语一样最终因过时而被淘汰。但 2001 年网络泡沫之后,此概念不仅没有消亡,反而随着市场的全球化发展、竞争压力的加大,产业持续创新,技术创新应用带来新的市场机会、资本市场迅速发展,互联网物联网飞速发展等等,迎来了新的发展,在实践中不断有创新的商业模式产生,诸如脸书、苹果、推特、优兔、阿里巴巴、滴滴、爱彼迎,奇虎360、拼多多等新模式体现了实业界在商业模式创新上的努力尝试,而在理论上则表现为相关著作和论文的激增。这种关注度的增长,源于商业模式解释了竞争优势的持续性和变革方法的问题。而这两个问题恰恰是 21 世纪经营战略论所必须面对的两大课题。2002 年后,商业模式革新时代开启,商业模式迎来了发展的新时期。德鲁克认为,当今企业之间的竞争,不是产品之间的竞争,而是商业模式之间的竞争11。David J.Teece 将商业模式的重要性跟企业的业务战略、创新管理等同12。Chesbrough 也指出,拥有同样的概念、技术以及市场机遇的两家公司,会因为商业模式的不同而导致两家公司的绩效结果大为不同13。正是由于商业模式对于企业成功的重要性,人们甚至开始尝试要求上市公司年报中披露有关商业模式的信息。由于外部环境的变化,企业的商业模式是动态的。在不同社会发展阶段,出现了许多不同的商业模式。商界评论、21 世纪商业评论每年一度的年度最佳商业模式评选活动,入榜的最佳和最佳商业模式创新名单不断刷新。分众传媒、大连万达、腾讯、瓜子二手车、滴滴出行等均曾上榜。商业模式创新风起云涌。即便是同一行业,随着时代变迁,其商业模式也处于转变中。例如,零售业从最开始的小便利店,发展到百货店形式,到大型商超形式,再到当前的网上超市等等,模式不断转变。当然,有的商业模式可能昙花一现,有的则实现了持续发展。企业要想实现持续成功,需要根据竞争环境的改变而对商业模式做出适应性的变革,即商业模式转型或创新*。企业应能识别当前的商业模式,并做出调整改变,实施新的商业模式,理解价值主张的改变,为利益关系人设计和获取新的价值。由此可见,商业模式创新是公司战略层面的重要环节,使得企业能根据外部动态竞争环境的变化做出调整,从而生存并持续发展。亨利 切斯布罗格(Henry Chesbrough)提出,在未来十年,“商业模式创新将与技术创新同等重要”14。作为企业创新以及转型升级的重要载体和途径之一,商业模式创新不仅有助于企业从瞬息万变的市场环境中获取超额利润,也是企业获取持续竞争优势的重要驱动力15。企业能够通过商业模式创新获取新的市场资源,发现新的经济增长点,从而提升自己的竞争优势16。对于企业来说商业模式创新意义非凡,Chesbrough 和 Rosenbloom 认为企业能否随时间的演进,改变商业模式原型来实现商业模式创新是决定企业成功的关键因素17。Zott 和 Amit 的实证*有 14 份问卷已完整填写了除了风险管理以外的其他问题,但弃填风险管理部分。考虑到前后一致性,将这 14 份问卷也标注为无效问卷。含此 14份问卷的回收率为 52%数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析11研究表明,以创新为中心的商业模式确实对创业公司的业绩非常重要18。一些来自从业者和顾问的研究也表明,商业模式创新对公司绩效有积极的影响,激发了管理实践中商业模式创新的热情。IBM 全球咨询服务部于 2008 年的调查研究显示“CEO们正在改变他们的商业模式”“69%受访的CEO计划在未来三年内实施广泛的商业模式创新”,实务界越来越多的企业管理者希望进行商业模式的创新19。与此同时,商业模式创新不仅是实务界的焦点,也是学术界的研究重点。多年来,商业模式创新的研究已形成多个方向,一些学者研究了商业模式创新的动力、路径、方法等问题,还有一些学者将商业模式理论研究与企业实际相结合。当前,商业模式创新理论研究与实证研究齐头并进,商业模式创新不但突破了既有的理论解释边界,也有效补充了现有研究框架体系14。在新形势下,商业模式创新领域的研究范围逐步扩大,商业模式创新也成为企业转型得以获得长足发展的必然。三、数字经济时代商业模式转型及风险管理的重要性(一)数字时代商业模式创新与数字化转型在数字经济时代,数字技术的发展推动了数字化的场景及应用,近年来,随着物联网、大数据、云计算、5G 等数字技术的迅猛发展,以及在线交易、线上办公、直播带货等多场景数字化应用的广泛普及,数字技术为企业挖掘新价值创造源泉、构造数字化经营逻辑、重塑产业竞争格局带来无限潜能。大数据时代,数字经济促使生产要素经济范式和商业模式发生改变20,技术进步催生了更敏捷的商业模式,如拼多多借力数字技术率先创新商业模式,在竞争激烈的在线零售市场中迅速成长为头部企业,促进商业模式的创新。数字技术的应用,使商业模式的创新,具有数字化特征,形成数字化商业模式,其特征表现为应用数字技术进行资源优化,强调无形资产的作用,且企业的核心价值围绕体验、平台和内容展开21。数字化商业模式为企业数字化转型铺平道路。在大数据时代,积极推进数字化商业模式创新是企业数字化转型成功的关键因素。商业模式数字化创新的实践开始于企业不同商业模式要素与数字技术应用的融合,并衍生出诸如小米模式、直播模式、平台模式等新型商业模式。有的企业独创了新模式,有些企业则模仿或改造竞争对手的模式,展开商业模式数字化转型创新的实践。这些丰富的实践,为理论研究提供了素材。尤其近些年,国内国外学者围绕数字技术与商业模式融合探究企业商业模式创新与转型研究。例如,数字化商业模式概念、路径、分类、案例分析等等。数字化与商业模式融合催生了新的商业模式,即数字化商业模式,常见的数字化商业模式包括平台模式、生态模式、共享模式、社交模式、广告模式等。数字化商业模式的概念界定,不同学者理解差异较大,但不可否认的是,数字化商业模式在理论或实践上都有重要作用。研究表明,数字化商业模式对企业绩效、组织韧性和数字生态系统具有重要影响。在数字化商业模式开发过程中,企业能够利用数字技术对员工劳动过程进行智能化管理,从而节约管理成本优化成本结构,增加企业效益22。在数字创新中,企业利用数字技术增强,促进企业成长并激活企业预期能力23,进而推动具有敏捷性和灵活特征的组织韧性的产生与发展。数字技术通过商业模式创造价值,数字技术与商业模式的有机融合,可以充分发挥数字化的优势,促进企业快速成长,实现数字化转型目标。将数字技术应用于商业模式创新过程,是数字时代商业模式创新的主要表现形式。了解数字化商业模式融合和发展的影响因素与机制,对于推动企业商业模式的数字化转型具有重要意义。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析12(二)商业模式转型的风险管理人工智能、大数据、云计算和物联网等新兴数字技术的出现使得传统公司改变业务模式和管理流程成为了可能,而新冠疫情等“黑天鹅”事件的发生,更是进一步加速了这类公司的数字化进程。根据 McKinsey(2020)24的全球调查结果显示,自新冠疫情爆发以来,所有行业和地区的公司都提高了数字化的应用比例以及供应链的数字化程度。数字化重新定义了商业模式,为企业价值创造提供了新的思路,但同时也带来了相应的风险。风险的定义经历了很长时间的演变,由传统的可能带来负面影响的事项发生的可能性转变为会给组织战略目标的实现带来双向影响的事项发生的可能性。与传统的产品创新、流程创新等不同,商业模式的创新属于战略层面的创新与变革,其所具有的复杂性和不确定性较大,隐含的风险也不是传统经营风险管理工具与方法能应对的。特别是,在当今 UVCA 时代,企业如果未及时把握创新过程的风险,将可能导致灾难性后果。数字化转型的源动力是组织内部的结构设计和已有资源与外部市场需求、技术发展的不匹配25,这意味着数字化转型不仅仅是简单地将先进技术运用于产品和服务提供流程,它更可能导致整个组织范式和资源利用方式的重构,只有当数字化商业模式和组织范式匹配时,数字化转型才有可能取得成功。风险与回报往往是共生的,成功的数字化商业模式创新可以帮助企业迅速抢占市场优势,但与此同时,商业模式创新的失败往往会导致比传统的产品或服务创新更加严重的后果。柯达和诺基亚作为曾经的影像产品和手机市场的龙头企业,由于错失了数码时代转型的契机,导致公司的价值主张无法满足新技术时代下的顾客需求,商业帝国就此陨落。而即便利用了数字技术引入新商业模式,也不必然保证成功。滴滴基于互联网平台而开发的网约车模式,是在诸多模仿者激烈竞争中幸存并发展的成功商业模式,它以全新的渠道通路实现了企业的价值主张。而在共享单车模式大潮中,OFO 则黯然退场,这是由于 OFO 将绝大多数资金都用于快速扩张却未获得水平相当的回报,入不敷出,体现了商业模式画布中收入来源和成本结构的失衡。在数字经济时代下,平台型的商业模式使得画布中的关键伙伴要素变得至关重要,怎样合理规划激励机制缓解企业自身与外部合作者(供应商、金融机构等)的逆向选择和道德风险,实现整个生态系统的价值最大化,成为了解决激励一致风险的关键要素26。同时,技术的发展使得企业与客户之间的关系更加紧密,用户数据的保密和隐私也成为了数字化商业模式面临的风险之一27。综上所述,数字化商业模式创新能否成功,关键在于企业是否能够识别不确定性环境中存在的风险并有效设计与其环境和能力相适应的商业模式创新决策。在商业模式创新的过程中,考虑风险因素并融入风险管理思维,有助于促进企业的成功转型。四、研究问题的提出数字经济推动了数字技术的广泛应用,造就了数字化的商业环境,并推动了传统商业模式的数字化创新。当创新程度从量变达到质变,就带来了商业模式的转型。与传统商业模式相比,数字化商业模式具有哪些要素特征?数字化商业模式创新过程是否存在一定的模式?在创新与转型过程中,企业面临什么样的机遇和挑战?企业应如何应对?(如图 1-4)本文研究将围绕上述问题展开。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析13图 1-4:主要研究问题原有商业模式要素、框架数字技术及应用障碍与风险?动因与机遇?数字生态系统利益关系人数字化商业模式创新框架、特征数字时代商业模式创新价值创造、传递、捕获等本报告探讨数字经济时代企业商业模式的数字化特征,商业模式创新的路径,并分析企业商业模式数字化转型过程面临的机遇与挑战,分析其可能的影响并对企业提出风险管理建议,从而为企业在数字经济中成功实现商业模式转型提供借鉴。本报告后续内容安排如下:在第二章展开文献综述,以了解商业模式、商业模式框架及商业模式创新、数字化商业模式的相关研究状况。第三章进行理论分析,搭建数字化商业模式创新分析框架,并讨论风险管理战略,以建立后续展开数字化商业模式创新的研究基础。第四章和第五章 应用案例分析方法,分析数字化商业模式创新的过程。第六章 在理论与案例分析基础上,提出识别风险并进行风险管理的对策。五、研究方法与研究设计本报告通过下列方法来完成研究目标。1.文献综述。通过文献回顾,梳理商业模式含义要素和理论模型,在此基础上确立数字经济对商业模式的影响和企业数字化商业模式及商业模式创新的概念及相关研究现状。2.案例分析。通过调查收集资料,结合文本分析和访谈,挖掘数字化商业模式的核心特征,探索数字化商业模式转型的环境因素,并对上市公司所呈现出来的数字化商业模式创新过程做探讨。3.问卷调查。根据理论设计问卷,了解企业数字化商业模式的应用表现,结合上市企业的统计资料,对数字化商业模式做分类。4.理论分析。建立数字化商业模式创新的理论模型,并通过案例分析,挖掘企业数字化商业模式创新或转型的路径,最终建立数字化商业模式的一般转型框架。本报告技术路线图如图 1-5。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析14商业模式文献综述数字化商业模式转型与风险管理对策要素、框架创新风险管理数字化商业模式创新影响因素、机遇与风险数字化商业模式要素数字化商业模式分类数字化商业模式转型过程图 1-5:研究技术路线图数字经济时代企业商业模式转型及风险管理基础理论研究内容商业模式理论商业模式创新理论数字化转型理论风险管理理论等归纳总结研究方法文献梳理理论推导建模理论推导文本挖掘案例研究访谈问卷模块一模块二模块三数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析15第二章文献综述一、关于商业模式含义的研究商业模式概念由来已久,并且与信息技术的发展存在密切联系(Teece,2010)28。在发展过程中,人们对其认识不断改变深化,许多学者从不同的视角对其加以描述。目前,学术界对商业模式概念主要有三种不同的观点:作业观、价值创造观和商业逻辑观,以下简要分析。(一)作业观早在 1998 年,Timmers 就表达了作业观下的商业模式概念,他认为商业模式是产品、服务和信息流的一个体系结构,包括对各商业活动参与者及其角色、对他们的潜在利益和对收入来源的描述,并提出了通过基于价值链的解构和重构来识别商业模式的方法29。受其影响,Weill 和 Vitale(2001)将电子商务模式定义为对公司的消费者、客户、合作伙伴和供应商之间的关系和作用的一种描述,它确定了主要的产品流、信息流和资金流以及参与各方的主要利益30;Mahadevan(2000)认为商业模式可看作是业务合作伙伴和客户的价值流、收入流和运输流三流的独特混合31。国内也有与此接近的观点,例如王晓辉(2006)认为汇集了物流、信息流和资金流的业务流程最终会将增值的商品和服务传递给客户从而产生收益,而这一业务流程及其核心环节的抽象就是商业模式32。而作业观中最具有代表性的是Amit和Zott(2001)的观点,他们对作业观下的商业模式进行了较为系统的阐述,其认为商业模式是旨在挖掘企业机会以创造价值的企业与其交易伙伴(例如顾客、供应商、互补品提供者)之间交易的内容、结构和治理33。在后续研究中,他们进一步指出作业体系是焦点企业及其交易伙伴所执行的一系列相互依赖的作业的集合,依据 Williamson(1980)的观点交易是作业的连结,交易和作业是一枚硬币的两面34,商业模式可以被概念化为企业一系列交易或作业的集合,因此作业是理解商业模式的关键。他们强调作业体系可以超越焦点企业自身的边界,与其他伙伴相互依赖的作业体系使企业与交易伙伴可以创造价值并分配价值(Zott&Amit.,2009)35。Saila Tykkylinen(2021)认为社会企业*很少只有一个集成社会和业务逻辑的商业模式,而是会部署多个涉及不同逻辑配置的作业集合,因此,关于如何解决不同逻辑间混合矛盾关系的研究最好是在作业一级而不是在公司一级进行36。作业观下的商业模式很大程度上受到了系统论思想的影响,较早期的想法是将商业模式拆分成产品流、信息流和资金流三个“子系统”,后来 Amit 和 Zott 将“作业”的观念引入进来,进一步深入到更加微观的层面。作业观下的商业模式从“构成”的视角出发进行思考,有助于在微观的角度对商业模式的细节进行阐释,而将不同作业组合的思想也会带来商业模式创新的灵活性。(二)价值创造观鉴于商业模式的重要性,有些学者试图基于战略管理的理论,解释商业模式对于企业价值创造和维持竞争优势的作用。*所谓社会企业,指的是在通过商业活动获取收入的同时,促进社会使命的达成的企业,以向社区社会的特点利益关系人创造社会价值。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析16较早对这类一观点进行阐释的有 Linder 和 Cantrell(2000),其认为商业模式是组织创造价值的核心逻辑,赢利导向的企业的商业模式解释了它如何赚钱。好的商业模式应能指出使组织成功吸引顾客、员工和投资人,并通过提供产品和服务获取利润的特有作业和方法37,还有 Stewart 和 Zhao(2000)认为商业模式可以被定义为一个公司如何赚钱并在一段时间内保持其利润流的呈现38。2010 年左右,有更多的学者发表了类似的观点,如 Teece(2010)等认为,商业模式展示了企业为顾客创造和交付价值的逻辑及相关的数据和证据,它还阐述了与交付该价值的业务企业相关的收入、成本和利润的架构28;商业模式描述了组织如何创造、交付和获取价值的基本原理(Osterwalder&Pigneur,2010)39,实质上是一个企业如何为客户和公司创造价值和传递价值的象征(Johnson,2010)40。除了价值创造,还有学者基于战略的思想强调了商业模式具有保持竞争优势的重要意义。Afuah 和 Tucci(2003)认为商业模式是一家公司建立并利用其资源为客户提供比竞争对手更有价值的服务并以此赚钱的方法,这种模式使一家公司拥有可持续的竞争优势,并在长期内比竞争对手表现得更好41。此外,基于战略管理学派的资源基础理论和交易成本理论的思想,DaSilva 和 Trkman(2014)提出商业模式是为企业和顾客创造价值而通过交易联系起来的资源42。在国内,基于价值创造定义商业模式的观点也有许多。比较典型的观点有:程愚和孙建国(2013)认为商业模式是企业创造价值的基本机制,是企业的基本生意模型,也可以说是企业整个投入产出营运过程中的基础性逻辑,是企业系统组织经营活动的依据和蓝本43;魏江等(2012)将商业模式定义为一个描述客户价值主张,价值创造和价值获取等活动连接的架构,该架构涵盖了企业为满足客户价值主张而创造价值,最终获取价值的概念化模式44。从价值创造角度来定义商业模式,学者们更多的是考虑企业通过商业模式所要达成的目的,而这一观点的兴起,很大程度上受到了战略管理理论发展的影响。另外,作业观与价值创造观并不矛盾,也有学者将两者合并起来对商业模式进行定义。如原磊(2007)认为商业模式是一种描述企业如何通过对经济逻辑、运营结构和战略方向等具有内部关联性的变量进行定位和整合的概念性工具,说明了企业如何通过对价值主张、价值网络、价值维护和价值实现四个方面的因素进行设计,在创造顾客价值的基础上,为股东及伙伴等其他利益相关者创造价值45。Wirtz(2016)总结商业模式的定义为公司相关作业的简化和聚合表示,描述了公司的价值增值组件如何产生可销售的信息、产品或服务,以实现确保竞争优势的上级目标46。(三)商业逻辑观还有的学者从企业营运的角度来定义商业模式,如 Magrette(2002)认为商业模式是对企业运作方式的描述,一个好的商业模式应该能回答德鲁克提出的老问题:谁是客户?客户关注哪些价值?同时还要回答每个管理者都必须问的基础问题:这个企业如何赚钱?怎样用合适的成本将价值传递给客户47?Gassmann 等(2014)认为商业模式可以被定义为描述业务如何处理的分析单元,即描述了企业基于它的各个部分来运作的逻辑48,更抽象一点来说,商业模式是将技术潜能和价值实现联系在一起的潜在逻辑(Chesbrough&Rosenbloom,2002)49。Osterwalder(2005)也较为全面地定义了商业模式,他认为商业模式是一个概念性的工具,它包含了一组元素以及元素之间的关系,用来说明企业的商业逻辑。因此,我们必须考虑哪些概念和关系可以简化描述和表示为客户提供什么价值,如何做到这一点,以及带来哪些财务后果50。据此,作者提出了商业模式的九要素理论用以展示企业寻求利润的逻辑过程14。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析17表 2-1:商业模式的主要定义作者分类定义Timmers(1998)作业观商业模式是产品、服务和信息流的一个体系结构,包括对各商业活动参与者及其角色、对他们的潜在利益和对收入来源的描述,并提出了通过基于价值链的解构和重构来识别商业模式的方法。Linder&Cantrell(2000)价值创造观商业模式是组织创造价值的核心逻辑,赢利导向的企业的商业模式解释了它如何赚钱。好的商业模式应能指出使组织成功吸引顾客、员工和投资人,并能提供产品和服务时获取利润的特有的作业和方法。Stewart&Zhao(2000)价值创造观商业模式可以被定义为一个公司如何赚钱并在一段时间内保持其利润流的呈现。Weill&Vitale(2001)作业观电子商业模式是对公司的消费者、客户、合作伙伴和供应商之间的关系和作用的一种描述,它确定了主要的产品流、信息流和资金流以及参与各方的主要利益。Amit&Zott(2001)作业观商业模式是旨在挖掘企业机会以创造价值的企业与其交易伙伴(例如顾客、供应商、互补品提供者)之间交易的内容、结构和治理。Magrette(2002)商业逻辑观商业模式是对企业工作方式的描述,一个好的商业模式应该回答彼得 德鲁克提出多年的老问题:谁是客户?客户关注哪些价值?同时还要回答每个管理者都必须问的基础问题:这个企业如何赚钱?怎样用合适的成本将价值传递给客户?国内也有与此类似的观点。例如乔为国(2009)认为商业模式指企业价值创造的基本逻辑,即企业在一定的价值链或价值网络中如何向客户提供产品和服务并获取利润,通俗地说,就是企业如何赚钱的51。商业模式是企业战略运作的系统方式,以战略规划为指导所展开的一系列关于整合各种利益,最终以独特持续创新的逻辑结构来实现企业的持续盈利(陈明和余来文,2011)52。除了上述定义外,其实还有不同角度的定义,例如从选择和决策这一角度来定义的有 Morris(2005)给商业模式的定义是如何在风险战略、架构和经济领域中处理一组相互关联的决策变量,以在确定的市场中创造可持续的竞争优势的简明表示53;Casadesus-Masanell 和 Ricart(2010)认为一个组织在政策、资产和治理方面做出的一系列特定选择及其相关后果就是该组织的商业模式,因为它们决定了公司的逻辑、运作方式以及如何为利益相关者创造价值54。从系统角度来定义的有李振勇(2006)认为商业模式是为了实现客户价值最大化,把能使企业运行的内外各要素整合起来,形成一个完整的、高效率的、具有独特核心竞争力的运行系统,并通过提供产品和服务使系统持续达成赢利目标的整体解决方案55;夏云风(2011)认为商业模式就是企业为做到有效盈利并持续盈利,将内外部各种资源合理调配和利用,向购买者或消费者提供准确的受用价值而建立的一种系统结构56。表 2-1 按照时间顺序列出了商业模式的主要定义。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析18作者分类定义Chesbrough&Rosenbloom(2002)商业逻辑观商业模式是将技术潜能和价值实现联系在一起的潜在逻辑。Afuah&Tucci(2003)价值创造观商业模式是一家公司建立并利用其资源为客户提供比竞争对手更有价值的服务并以此赚钱的方法,这种模式使一家公司拥有可持续的竞争优势,并在长期内比竞争对手表现得更好。Osterwalder(2005)商业逻辑观商业模式是一个概念性的工具,它包含了一组元素以及元素之间的关系,用来说明企业的商业逻辑。因此,我们必须考虑哪些概念和关系可以简化描述和表示为客户提供什么价值,如何做到这一点,以及带来哪些财务后果。Morris(2005)其他如何在风险战略、架构和经济领域中处理一组相互关联的决策变量,以在确定的市场中创造可持续的竞争优势的简明表示。Amit&Zott(2009)作业观商业模式可以被概念化为企业一系列交易或作业的集合。原磊(2007)价值创造观商业模式是一种描述企业如何通过对经济逻辑、运营结构和战略方向等具有内部关联性的变量进行定位和整合的概念性工具,说明了企业如何通过对价值主张、价值网络、价值维护和价值实现四个方面的因素进行设计,在创造顾客价值的基础上,为股东及伙伴等其他利益相关者创造价值。乔为国(2009)价值创造观商业模式指企业价值创造的基本逻辑,即企业在一定的价值链或价值网络中如何向客户提供产品和服务并获取利润。通俗地说,就是企业如何赚钱的。Teece(2010)价值创造观商业模式展示了企业为顾客创造和交付价值的逻辑及相关的数据和证据,它还阐述了与交付该价值的业务企业相关的收入、成本和利润的架构。Osterwalder&Pigneur(2010)价值创造观组织如何创造、交付和获取价值的基本原理。Johnson(2010)价值创造观一个企业如何为客户和公司创造价值和传递价值的象征。Casadesus-Masanell&Ricart(2010)其他一个组织在政策、资产和治理方面做出的一系列特定选择及其相关后果就是该组织的商业模式,因为它们决定了公司的逻辑、运作方式以及如何为利益相关者创造价值。程愚和孙建国(2013)价值创造观商业模式是企业创造价值的基本机制,是企业的基本生意模型,也可以说是企业整个投入产出营运过程中的基础性逻辑,是企业系统组织经营活动的依据和蓝本。Gassmann(2014)商业逻辑观商业模式可以被定义为描述业务如何处理的分析单元,即描述了企业基于它的各个部分来运作的逻辑。资料来源:作者整理数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析19从作业观到商业逻辑观,再到价值创造观,学术界对其的认识是不断发展的,如图 2-1。最初,作业观的研究基于价值链,认为商业模式是作业或元素的集合。后来,价值创造观受战略思想影响,强调价值的创造即赚钱的基本逻辑,认为好的商业模式有助于企业建立竞争优势。商业逻辑观认为商业模式是对企业运作方式的描述,在作业观的基础上进一步强调了要素组合的逻辑性和系统性,并强调企业利润的实现即价值获取这一目的。图 2-1:商业模式定义发展商业逻辑观价值创造观作业观2002Magrette;Chesbrough&Rosenbloom2000 Linder&Cantrell1998Timmers1957Bellman 现在2001Weill&Vitale;Amit&Zott2009Amit&Zott2003 Afuah&Tucci2010Johnson2014DaSilva&Trkman2005Osterwalder2014Gassmann尽管对于商业模式的概念存在诸多不同的认识,但经过多年的发展,人们也初步形成了一定的共识。上述对于商业模式的不同视角的定义,其实并非截然分离的。例如商业模式在解释企业如何经营的时候,强调的是系统和综合的观点,而不只是某个要素。商业模式中,企业和交易伙伴的活动发挥着重要作用。商业模式应能对价值创造和价值分配(捕获)做出解释。因此本报告认为,商业模式最核心的本质是解释价值创造的逻辑,通过价值创造形成企业竞争优势。不同的学派对于价值创造有不同的解释视角,从而带来定义的多元化。二、关于商业模式框架的研究商业模式的组成部分是众多学者关注的另一大问题,也是包括商业模式创新在内的很多后续研究开展的基础。(一)基于企业运营的商业模式框架最初识别商业模式框架的思路围绕着企业运营的过程,关注商业过程中能给企业带来收益的核心要素。Timmers(1998)将商业模式概括为产品或服务与信息流之间的架构、业务参与者的潜在利益、收入来源与市场策略四个部分29。Linder 等(2000)认为商业模式的组成应当包含定价、收入、渠道、商业过程、互联网商务关系、组织形式和价值主张37。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析20(二)围绕价值的商业模式框架Richardson(2005)在综合其他学者研究的基础上,归纳出商业模式应当包含价值主张、价值创造和价值传递、价值捕获三个部分,用以反应关于价值的战略思考逻辑。Shafer(2005)提出商业模式组成要素包含战略决策、价值创造、价值网络、价值获取四个方面,并对四个方面进行了更详细的说明57。从商业模式中抽象出价值主张、价值创造、价值传递、收获价值四个环节形成框架,这种方式反映了商业活动的实质,具有很强的概括性,为后续的框架研究奠定了基础。(三)综合企业运营与价值创造的商业模式框架后来学者们将企业运营的具体要素和价值创造的抽象要素进行结合,形成了更具有普世意义的商业模式框架。基于这一思路的典型代表有 Johnson 等(2008)认为商业模式是客户价值主张、关键资源、关键过程与盈利模式四个要素以及它们之间的相互联系,并对每一模块具体进行了阐述58。Baden-Fullerhe 和 Haefiger(2013)提出的商业模式框架则由客户识别、客户参与、价值传递和联系、资本化四部分构成59。Gassmann 等(2014)提出了一个由“Who、What、How、Why”这四个中心维度组成的框架,其中“Who”考虑的是客户是谁,即解决市场细分的问题;“What”是回答为客户提供什么的问题即明确企业的价值主张;“How”是回答企业在价值链中如何分配和传递价值的问题;“Why”是明确企业的商业模式在财务上是可行的即解决企业如何收获价值的问题48。在 2002 年 Dubusson-Torbay,Osterwalder 和 Pigneur 提出了四要素电子商业模式框架,即产品和服务、伙伴基础和网络、客户关系和财务因素四个维度60,2005 年 Osterwalder 等在原本的四要素模型上进一步细分提出了商业模式画布模型,将商业模式分为客户细分、价值主张、渠道通路、客户关系、收入来源、核心资源、关键业务、重要合作、成本结构九大要素,基本涵盖了国外商业模式研究中最主要的因素,被广为接受与使用50。原磊(2007)提出了商业模式“3-4-8”架构,其中“3”代表联系界面,包括顾客价值、伙伴价值、企业价值,“4”代表构成单元,包括价值主张、价值网络、价值维护和价值实现;“8”代表目标顾客、价值内容、网络形态、业务定位、伙伴关系、隔绝机制、收入模式、成本管理八个要素45。还有一些学者更进一步将战略的表达纳入了商业模式的组成部分。Hamel(2000)基于案例研究将商业模式分成顾客界面、核心战略、战略资源、价值网络四个主要组成部分61。Chesbrough 等(2002)则指出商业模式应具有明确表达价值主张、识别细分市场、定义创造和分销产品的价值链并确定支持公司运作的资产、预估成本结构和潜在利益、描述公司在价值链中的位置和制定竞争策略的六大功能17。Wirtz(2011)将商业模式划分为战略、顾客和市场以及价值创造三个组成部分,战略部分包括企业的战略模式、资源模式、网络模式,顾客和市场部分包括顾客模式、市场供给模式、收入模式,价值创造部分包括价值创造模式、采购模式、资金模式62。按照时间顺序梳理上述商业模式的框架内容,结果如表 2.2。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析21表 2-2:商业模式的框架序号作者要素Timmers(1998)产品或服务与信息流之间的架构、业务参与者的潜在利益、收入来源与市场策略Hamel(2000)顾客界面、核心战略、战略资源、价值网络Linder&Cantrell(2000)定价、收入、渠道、商业过程、互联网商务关系、组织形式和价值主张Dubusson-Torbay,Osterwalder&Pigneur(2002)产品和服务、伙伴基础和网络、客户关系和财务因素四个维度Chesbrough&Rosenbloom(2002)价值主张、识别细分市场、定义创造和分销产品的价值链并确定支持公司运作的资产、预估成本结构和潜在利益、描述公司在价值链中的位置和制定竞争策略。Osterwalder(2005)客户细分、价值主张、渠道通路、客户关系、收入来源、核心资源、关键业务、重要合作、成本结构Shafer(2005)战略决策、价值创造、价值网络、价值获取Johnson,Christensen&Kagermann(2008)客户价值主张、关键资源、关键过程与盈利模式Baden-Fullerhe&Haefiger(2013)客户识别、客户参与、价值传递和联系、资本化原磊(2007)“3”代表联系界面,包括顾客价值、伙伴价值、企业价值;“4”代表构成单元,包括价值主张、价值网络、价值维护和价值实现;“8”代表目标顾客、价值内容、网络形态、业务定位、伙伴关系、隔绝机制、收入模式、成本管理八个要素。Wirtz(2011)战略要素:战略模式、资源模式、网络模式顾客和市场要素:顾客模式、市场供给模式、收入模式价值创造要素:价值创造模式、采购模式、资金模式Gassmann 等(2014)Who考虑的是客户是谁,即解决市场细分的问题;What是回答为客户提供什么的问题即明确企业的价值主张;How是回答企业在价值链中如何分配和传递价值的问题;Why是明确企业的商业模式在财务上是可行的即解决企业如何收获价值的问题。资料来源:作者整理Richardson(2005)提出的商业模式框架具有很强的全面性和概括性,本文将上述学者提出的商业模式要素进行归类,结果如图 2-2 所示63。通过结果可以看出有关价值主张、产品或服务、资源、商业关系、收入、顾客、市场等组成要素被提及的频次较高,而其中很大一部分都反应在商业模式画布之中。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析22图 2-2:商业模式要素框架分类价值主张价值主张、战略价值获取收入、成本、定价、盈利模式、价值获取、顾客、市场(细分)价值创造产品或服务、资源、资本、关键业务或过程价值传递信息流、价值网络、渠道、价值传递、商业关系资料来源:作者整理三、关于商业模式分类的研究(一)基于收入来源的视角如前所述,价值创造是理解商业模式的重要视角,也是商业模式的重要组成部分,所以很大一部分学者围绕着企业价值创造的方式来进行分类。例如 Wirtz 和 Lihotzky(2003)根据收入模式、受众范围和核心产品三个要素的综合考虑区分了四种基本的互联网商业模式类型,第一类商业模式是内容的收集、选择、系统化、汇编和呈现,第二类是商业交易的发起、协商和推进,第三类是互联网信息的分类和系统化处理,第四类是创造互联网信息交换的可能性64。Baden-Fuller等(2015)基于商业模式的概念原则进行分类,第一大类是客户直接与公司接触的商业模式,可进一步细分为提供服务工作和产品出售两类;第二大类包括买家卖家由组织者联系的市场匹配者和同时从用户和付费方(如广告商)获取利润的多边商业模式59。Johnson(2010)明确指出了三种商业模式,第一种是专家利用技能分析问题然后提供解决方案,第二种是提供规模化的产品和服务以较低成本完成规律性的工作,第三种是将有类似需求的用户连接到一起,他们在网络中完成交换、共享、购买和销售商品和知识的平台40。德勤基于公司创造价值的方式将商业模式分为资产制造者、服务提供者、价值创造者、平台型企业四大类65。德勤统计了各类型商业模式企业在估值的 5%中占比(如图 2.2)。从 1972 年到 1992 年,标准普尔 500 指数中估值最高的 5%主要是资产制造公司。从 1992 年到 2010 年左右,技术创造者公司占据了最高估值。这种变化反映了价值的转移,侧面体现了企业商业模式中价值主张的重要性。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析23图 2-3:标普 500 指数中估值最高的 5%中各类商业模式的占比资料来源:The value shift:Why CFOs should lead the charge in the digital age,Deloitte,2014.(二)基于企业运营的视角也有学者根据企业营运方式的不同来对商业模式进行分类,例如 Weill 和 Vitale(2001)提出了内容提供商、直接面向消费者、全面服务提供商、中介、共享基础设施、价值网络集成商、虚拟社区、企业或政府整体七个“纯”商业模式类型,作者认为这七种类型是电子商业模式的基础模块30。陈俊芳、黄培(2003)基于运营的视角将商业模式分为分销型、生产型、服务型66。埃森哲管理咨询公司将商业模式分为运营型商业模式和策略型商业模式,运营型商业模式创造企业的核心优势、能力、关系和知识,策略型商业模式对其加以扩展和运用67。(三)基于价值链视角价值链是企业理解自身商业模式并进行创新的一个重要背景,因此也有基于价值链的角度进行商业模式分类。陈玉锋(2008)基于价值链理论和商业实践将商业模式划分为价值链延展型、价值链分拆型、价值创新型、价值链延展与分拆相结合型、混合创新型68。郑石明(2006)基于价值链的内涵将商业模式分为基于成本控制、目标市场、渠道优势、产品服务、技术领先、产业互动联合六种商业模式69。曾楚宏基于(2008)企业与价值链的关系将商业模式分为聚焦型、一体化型、协调型、核心型70。(四)其他除上述所述内容外,还有一些其他的分类方式。例如 Afuah 和 Tucci(2003)以收益模式为依据将商业模式分为佣金、广告、标记、生产、推荐、订阅和收费服务为基础的七种41。Allmendinger 和 Lombreglia(2005)依据商业模式创新的方式和程度将商业模式分为嵌入式创新者、解决方案者、聚合者、协同者71。类似地,Zott 和 Amit(2008)将商业模式分为了以创新为中心的商业模式和以效率为中心的商业模式72。Chatterjee(2013)将商业模式划分为了高效率的模型、感知价值模型、基于网络价值(忠诚度)的模型、基于网络效率的模型73。Sanchez 和Ricart(2010)将商业模式划分为了孤立式和互动式74。100 %0721982199220022012Asset BuildersService ProvidersTechnology CreatorsNetwork Orchestrators数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析24第三章数字化商业模式创新的理论分析一、战略管理视角下的商业模式“商业模式”一词首次出现于 1957 年的一篇学术文章中(Bellman 等,1957)75,不过,在 20 世纪 90 年代之前,这个词并没有得到重视(Osterwalder 等,2005)76。如第二章所述,商业模式存在多种定义。21 世纪以来,战略管理的研究成为研究商业模式创新的核心基础,而本报告关注数字经济时代的商业模式转型,核心为商业模式创新。因此本报告从战略管理角度界定商业模式概念。战略管理的思想一则强调系统内的一致性,二则强调保持长久的竞争优势。从战略管理角度看,对于商业模式的定义也要涵盖两部分内容。广义地说,商业模式可视为由要素、要素之间的联系与互动以及要素的动态变化所组成的系统。具体而言,商业模式描述了组织创造、传递和获取价值的逻辑,也体现了企业和利益相关者之间的交易结构。其本质是企业为利益关系人创造价值的核心逻辑。商业模式脱胎于战略,有时候人们将其互换使用。不过,二者仍存在一定区别。商业模式用于确定价值主张并创造价值,而战略则通过利用商业模式开发出的资源和能力形成竞争优势,进而捕获价值。商业模式回答企业如何生存问题,战略回答企业如何发展问题。商业模式关乎要素之间的联系,战略关乎企业的市场定位与竞争。商业模式属于基本性的分析层次,界定了经营活动和交易的方式,但不涉及企业的竞争战略。商业模式可能有多种形式,而竞争战略则不然。同一种战略,可能应用到不同的商业模式上。例如,差异化战略,可能用于传统产品制造企业,也可能应用于互联网企业应用的平台商业模式中。商业模式,可以在行业层面论述,可以是企业层面,业务单元层面,甚至也可能具体到产品层面。战略,则主要在企业层面论述。当然,商业模式与战略存在联系。Casadesus-Masanell 和 Ricart(2010)77认为,商业模式反映的是已经执行的战略。战略是长期的,代表企业未来的目标,其奠定了企业的能力。商业模式代表的是企业当前的状况,受到企业能力的制约(DaSilva 和 Trkman,2014)78。二、商业模式理论框架基于商业模式的概念,衍生出商业模式要素,由此形成了多种的商业模式理论框架。如第二章所示,各学者提出的构成要素各不相同,原因在于其研究和考察深度和广度的差异。在这些要素中,被多次反复提到的是价值主张。商业模式之本质,实则为顾客创造价值的方式。(一)商业模式画布在这些关于商业模式构成要素的文献中,影响力较大的是俗称商业模式画布的九要素模型(Osterwalder 等,2005)50。几乎在各类学者的研究中都可以看到其身影,有时候尽管名字不同,但实质内容相近。可以说,九要素理论是商业模式的一个代表性成果。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析25商业模式画布将商业模式分为九大模块,包括:1、KP(Key Partnerships)重要合作:描述企业顺利运行所需要的供应商和合作伙伴网络。2、KA(Key Activity)关键业务:描述企业成功运营所必须采取的最重要的行动。3、KR(Key Resources)核心资源:为了保证企业顺利运行所需要的最重要的资产。4、CS(Cost Structure)成本结构:描述运营该商业模式所发生的全部成本。5、VP(Value Propositions)价值主张:企业为某一客户群体提供能为其创造价值的产品和服务。6、CS(Customer Segments)客户细分:企业想要获得和期望服务的不同的目标人群和机构。7、CH(Channels)渠道通路:企业如何与客户群体达成沟通并建立联系,以向对方传递自身的价值主张。8、CR(Customer Relationships)客户关系:企业针对某一客户群体所建立的客户关系的类型。9、RS(Revenue Streams)收入来源:企业从每一个客户群体获得的现金收益。这九大模块合在一起,构成商业模式画布(如图 3-1),成为设计和讨论商业模式及商业模式创新与优化的工具。图 3-2 展示了商业模式九要素之间的关系。图 3-1:商业模式画布重要伙伴 Key Partners重要业务 Key Activities价值主张 Value Propositions客户关系 CustomerRelationships客户细分 CustomerSegments核心资源 Key Resources渠道通道 Channels成本结构 Cost Structure收入来源 Revenue Streams资料来源:Osterwalder A,Pigneur Y.Business model generation:a handbook for visionaries,game changers,and challengersM.John Wiley&Sons,2010.其中,核心为价值主张,其左边为组织的基础设施,包括重要伙伴、关键业务和核心资源,解释了企业如何通过组织流程资源来实现价值主张,其右边明确价值主张所面对的细分客户,并确定客户关系和渠道通路,这部分围绕客户的价值设计,与创意有关。价值主张的下部则与财务有关,组织结构的设计消耗资源,影响企业成本结构,而客户的设计影响企业的收入来源,只有收入超过成本,企业获得利润或价值,商业模式得以持续。各个要素之间的相互联系,见图 3-2。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析26图 3-2:Osterwalder 商业模式九要素的分解关系资料来源:Chesbrough,H.W.Business model innovation:Opportunities and barriersJ.Long Range Planning,2010(43):354-363.九要素模型完整的反应了企业的价值创造过程。不过,其构成要素过于复杂,应用难度较大。许多学者又从不同角度提出了其他要素模型。鉴于本文对商业模式的界定围绕价值展开,因此,以下重点介绍与价值创造过程相关的几个要素模型。(二)价值三角模型Richardson(2005)79认为商业模式由价值主张、价值创造与传递系统、价值捕获三方面组成。其中价值主张回答的是公司将为客户提供什么,为什么客户愿意为它付钱,以及这家公司获得竞争优势的基本方法(竞争战略);价值创造和传递系统回答的是企业将如何为客户创造和传递价值,以及竞争优势的来源具体包括资源和能力、组织本身的价值链、作业系统和流程,组织在价值网络中的位置,如与供应商、合伙伙伴、顾客等的关系;而价值捕获回答的是企业如何产生收入和利润的问题。(三)商业模式四要素模型Johnson等(2008)80认为商业模式包括用户价值主张、关键资源和关键流程、盈利模式四个要素,如图3-3所示。关键业务客户关系客户细分价值主张核心资源渠道通道收入来源成本结构重要伙伴图 3-3:Johnson 商业模式四要素模型价值主张盈利模式关键资源关键流程资料来源:Johnson M W,Christensen C M,Kagermann H.Reinventing your business modelJ.Harvard business review,2008,86(12):57-68.数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析27图 3-4:Gassmann 商业模式四要素模型其中,用户价值主张包括明确目标客户、目标客户的需求以及为了满足这些需求企业所要完成的工作,盈利模式包括企业的收入模式、成本结构、利润模型和资源周转率。关键资源和关键流程需要以盈利性方式传递价值主张。关键资源包括员工、技术、产品、设备、信息、渠道、合作伙伴和品牌等等,关键流程既包括具体层面的产品设计、开发、制造等,还包括抽象层面的投入、借贷、供应的规则和控制以及投入的时机、渠道和客户的获取方式。Gassmann 等(2014)81将上述两个理论合并起来考虑,形成了新的四要素模型如图 3-4。围绕目标客户确立价值主张、价值链和收入模式可以分别回答企业的客户是谁,企业提供什么产品或服务,企业如何传递这些产品或服务以及如何通过这一过程取得价值。这四个相互联系的问题,识别了目标客户,客户价值主张,创造价值的价值链以及捕获价值的收入模型。商业模式最主要特征是解释核心企业如何在其所处的生态系统中为自己的利益关系人创造价值。产品价值方法我们为客户提供什么价值主张收入模式价值链谁是我们的目标客户(市场)?我们如何收获价值?我们如何为客户传递商品或服务?客户资料来源:Gassmann O,Frankenberger K,Csik M.Revolutionizing the business modelJ.Management of the fuzzy front end ofinnovation,2014:89-97.通过四要素模型和价值三角的对比,可以看出利润的获取,实际上就是价值获取,关键资源和关键流程,实际就是价值的创造与传递过程。价值主张:商业模式解释企业创造价值的逻辑,因此,首先需要确定其价值主张。即向目标顾客提供什么?依靠什么为顾客创造价值。价值创造:将企业内外部资源整合起来高效运营,以实现各方价值。价值传递:将价值有效传递给顾客的方式。包括销售渠道等等。随着技术的变化,这种方式变化很快。价值获取:通过一定的盈利模式设计来持续获取价值。包括收入和成本等等。当然有的文献还考虑了利润,或盈余、资本的分配等模型。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析28图 3-5:商业模式四要素模型图 3-6:商业模式框架价值主张价值获取价值创造价值传递资料来源:作者编制因此,这个四要素模型,本质上就是价值主张、价值创造、价值传递和价值获取四个核心组成部分,如图 3-5。其实质是价值三角模型的扩展。其中价值主张处于核心地位,价值主张的变化,将可能带来其他三个要素相应的改变,此外,这些要素之间相互高度依赖。如果对照该模式与商业模式画布,不难看出相互之间的重合之处。实际上,关键业务、核心资源以及重要伙伴三个要素反应的是企业产出的过程及创造价值的过程,体现了成本结构;客户关系,渠道通道和客户细分解决的是如何将价值传递给客户的问题,体现了收入来源;而成本结构和收入来源之间的差额即是企业的利润,也就是企业获取价值的体现。因此,我们将商业模式画布上划分出四要素框架得到了本报告后续研究所采用的商业模式框架(如图 3-6)。价值主张重要伙伴关键业务核心资源客户关系渠道通道客户细分成本结构收入来源创造价值传递价值获取价值利润资料来源:作者编制数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析29三、商业模式创新理论框架(一)战略视角的商业模式创新含义及特点在动态商业环境中,商业模式的变革始终不断。数字经济时代技术突飞猛进,为创新提供了巨大空间。而商业模式的创新,不管是实践或理论都引起了人们的重视。如第二章所述,关于商业模式创新含义,存在多种理解。从创新内容考察,商业模式的创新,是对其构成要素的变革,也可以是对构成商业模式的作业及其结构的变革,可以是对价值的再造,或是对商业逻辑的重塑。基于商业模式与战略的关系,本报告主要从战略管理视角来研究商业模式的创新,并从价值链视角加以考察。即从商业模式本质出发,关注在数字技术影响下,企业如何改变其企业价值创造的逻辑。大多数学者都认可价值主张、目标客户、客户关系、收入和成本是商业模式构成的核心要素,通过创新重要要素或者改变要素之间相互作用方式可以实现商业模式创新。从系统论的角度出发,Amit 和 Zott(2012)82指出商业模式的创新可以通过添加新的活动、建立新的作业系统结构以及改变执行作业的参与方实现,即改变商业模式的内容、结构和治理三个元素,只要改变了其中一个或多个元素,就是对商业模式的创新。Foss 和 Saebi(2018)83除了给出定义外,认为商业模式创新包含了组成要素的变化以及要素之间整体结构的变化。并识别出四种商业模式创新形式,包括:模块式,基础结构式,激进式和渐进式。其中模块式是对商业模式价值来源和要素的特定部分的创新,特指商业模式的某个单一元素的变革,例如,进入新行业,改变了收入模式,或重新界定组织边界,创新技术,价值网络,改变贴现率等。第二种则是指商业模式要素之间的新联系以及作业连接或治理方式的改变。第三种和第四种类型则是从其对于企业和行业的创新程度而言。不论是哪一种角度,商业模式创新都是企业战略层面的一种创新和变革(Schlegelmilch,2003)84,是对现有业务规则的颠覆以及对新业务规则的引入(Markides,2006)85。一言以蔽之,人们的共识是商业模式创新是对当前商业模式内容或结构的某种变革。至于变革到什么程度才能称得上创新,则存在一定分歧。有些学者认为,单一要素的改变即可称得上创新(Markides,200685;Johnson 等,200880)。Lindgardt 等(2009)86认为,商业模式包含两个主要元素价值命题和经营模式,当商业模式两个及以上的元素发生重塑以新方式传递价值时,就形成了商业模式创新。这种创新设计到多种维度的作业及其协同,具有挑战性且难以模仿。有的学者认为创新是针对企业而言,有的则强调是对整个行业而言是新的,甚至要求是创造新行业。Johnson 等(2008)80就强调说,追求一个非新或无法改变所在行业或市场游戏规则的新商业模式就是浪费时间和金钱。Mitchell 和 Coles 则区分了商业模式改善(improvement)、替换(replacement)与创新(innovation),将只有一个商业模式要素的变化称为商业模式改善,若相对于竞争者发生了四项以上的要素发生变化就是商业模式的替换,而如果这种替换能够以全新的或行业内未曾应用过的方式提供给客户,则为商业模式创新87。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析30鉴于现实生活中,创新的形式多种多样,并非要彻底变革才能称为创新,因此,本报告采取的是比较宽泛的定义,即商业模式创新是商业模式一个或多个要素的变化或整体改变及要素之间相互关系发生变化的过程。商业模式创新是对当前商业模式的核心要素的变革,至于什么是核心要素,则存在一定分歧。比较前述各个商业模式的要素研究,可以看出,价值主张作为核心是公认的。分歧不过是对于其他要素的分类而已。基于此,本报告认为,商业模式创新是为了创造或实现竞争优势而对商业模式构成要素和(或)其要素的框架做的变革。其是基于外部技术与环境变化的压力,以及内部对顾客新需求的洞察,对企业价值主张的重新定义、对业务规则的重构以及对利益相关者价值的重塑。该概念强调商业模式创新对价值逻辑的重构。但重构价值逻辑的基础仍是商业模式要素的部分或整体改变。从上述描述中可以看出,商业模式创新具有以下特点:其一,商业模式创新是一种较高层次的创新,它不同于传统的产品或服务创新以及业务流程创新,它是基于企业战略做出的系统性创新,会使企业的价值主张、价值创造与传递、价值获取整个过程产生重要变化,甚至改变整个价值创造逻辑。其二,商业模式创新不拘泥于企业现有的资源、能力以及业务范围和市场,它是对现有业务边界的突破、对客户新需求的挖掘以及对产业生态的重构。其三,商业模式创新逐渐开始突破原有价值链模式下的竞争思维,转向与产业链上下游企业开展竞争与合作,以一种全新的经济系统来协同上游和下游的利益相关者,构建出由全体利益相关者参加的协同共赢和分享价值的价值网络。(二)商业模式创新的重要性管理学大师德鲁克指出,当今企业的竞争关键点逐渐由产品竞争转向了商业模式创新。商业模式创新的价值可以体现为如下几点:首先,新的商业模式代表了一种未被充分利用的未来价值来源,创新商业模式能够让企业率先抓住获取新价值的机会;而且商业模式创新有助于企业建立可持续竞争优势,对竞争对手而言,模仿或复制一个完整的新活动系统比单一的新产品或流程更困难,企业通过设计一个合适的、难以被其他企业模仿和超越的商业模式,能够建立可持续的竞争优势(Amit 和 Zott,2012)82。其次,从企业数字化转型的角度而言,商业模式创新是数字化转型 2.0 的核心。数字化转型的第一个阶段是内部运营的数字化,即企业的信息化建设。当业务运营数字化初见成效时,企业发现要想赢得新的市场竞争还需要进行商业模式的创新和数字化转型,只有充分利用新技术开拓新的市场、开发新的价值创造模式才能实现企业在数字化时代的持续增长。商业模式创新是企业数字化转型路径中从运营创新达到最终业态创新的必由之路,在数字化转型中具有重要作用(刘继承,2021)88。最后,商业模式升级是企业应对数字技术变革的必须。数字技术的广泛应用催生出了诸多颠覆性的商业模式,这些企业的商业模式给传统企业带来颠覆性的打击。为了抵御无处不在的跨界竞争和随时可能发生的颠覆风险,传统企业不得不借助数字化技术的赋能创新自身的商业模式。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析31(三)基于创新维度和程度的商业模式创新的分类从前文分析可知,技术创新和消费者需求变化是驱动企业进行商业模式创新的重要因素。颠覆式创新理论指出,颠覆性技术的出现让市场中出现了一批新进入的企业,这些新进入者引入了新的价值主张和商业模式,该价值主张起初对主流市场没有吸引力,但是它为目标细分市场提供了更简单、更便捷和更便宜的产品与服务(Christensen和 Raynor,201389;Hwang 和 Christensen,200890;Wu 等,201091;Pereira 等,201592),新进入者通过聚焦于低端市场或新市场最终颠覆了现有企业(Christensen 等,2015)93。颠覆式技术创新是导致现有企业进行商业模式创新的动因,商业模式创新就是用于应对来自颠覆者的市场增长与技术创新威胁的成功解决方案,现有企业的商业模式创新方式包括创建全新的商业模式和修改现有商业模式(Addo-Quaye 和 Fielt,2019)94。Schiavi 和 Behr(2018)95通过对文献的回顾发现有关商业模式创新可分为两种类型:一是对于拥有既定商业模式但希望利用颠覆性技术和创新带来的新机会的公司而言,其商业模式创新是对现有商业模式的重构;二是利用颠覆性技术和创新带来的全新的商业机会,创造一个全新的商业模式。Taran 等(2015)96从类型学的角度采用三个标准衡量商业模式创新。其一,根据创新的激进程度,即商业模式各个构成要素的创新新颖程度;其二是根据商业模式创新的复杂度(变革所涉及的要素的个数);其三为商业模式创新的广度(创新是相对于企业自身、市场、行业或世界范围),将商业模式创新分为渐进式和激进式。Foss and Saebi(2017)97通过对商业模式创新相关文献的梳理,也得出了与 Taran 等人相似的结论,该研究总结出衡量商业模式创新的两个维度:其一是商业模式创新的新颖程度,包括对企业而言的创新和对行业而言的创新;其二是商业模式创新的范围,创新可能只发生在商业模式的某些组成要素中,也可能涉及商业模式的所有组成要素以及连接这些要素的体系结构。其将商业模式划分为模块式,基础结构式,激进式和渐进式,融合了这两个维度的判断标准。国内也有部分学者从创新程度角度提出商业模式创新的类型,原磊(2007)98提出商业模式变革的三种基本途径:一是企业通过对价值模块的提升导致商业模式的创新,基于价值模块的商业模式变革往往是一种对旧商业模式的局部变革;二是改变现有价值子模块之间的界面规则,即企业通过对模块间的既定联系进行创造性的破坏和再结合,使商业模式发生较大程度的变革、产生崭新的变化。三是基于前两者混合的变革路径,这是一种程度更深、范围更广的商业模式创新。在此基础上,将基于价值模式的变革称为改善型商业模式变革,技术界面规则和同一单元模块的混合变革称为调整型商业模式变革,跨越不同单元模块的变革称为改变型商业模式变革,而建立全新商业模式的混合变革路径,称谓重构型商业模式变革。综合以上各研究的观点,本文认为商业模式的创新可根据创新程度划分为两种类型,其一是渐进性商业模式变革,这是对企业现有商业模式的部分要素进行创新和改进,对当前商业模式的调整;其二是颠覆性商业模式变革,代表企业对商业模式进行了彻底的创新,企业不仅对商业模式的关键构成要素进行了颠覆式的创新,同时也对各要素之间的连接架构以及整体的价值创造逻辑进行了创新,是对商业模式的重构。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析32(四)基于价值创造逻辑的商业模式创新 商业模式的本质是价值创造,而商业模式创新,则是对价值创造逻辑的变革。因此,商业模式创新,需要从价值链视角加以考察。价值链是企业为达到价值创造的目的所进行的一系列活动的集合(Porter,1985)99。波特的价值链理论揭示了企业的价值创造是由一系列企业经营活动构成的。Shank 等(1993)100则提出,价值链是企业从最初购买基本原材料到最终把产品交到客户手中的整个经营过程中的各种价值活动的集合,从而将价值链范围从企业内部扩展到企业上下游关系中,即产业价值链范畴。价值链理论揭示了传统经济下的商业模式本质,因此成为商业模式的基础理论。不过,随着网络经济以及数字经济的兴起,该理论已不能无法解释新经济业态。组织与其协力者所共同营造的价值网的竞争出现(Lynda 等,2000)101。大卫 波维特(2001)102指出,“价值网是以顾客为中心、由利益相关者之间相互影响构成的价值生成、分配、转移、传递和使用的网状关系及其结构”。作为一种新的企业业务模式,它“将顾客日益提高的苛刻要求与灵活、高效的制造系统相关联,采用数字化信息快速匹配产品及服务,建立低成本、高速率分销网,将合作各方有机连接在一起,实现交付定制解决方案,以高效率地信息流引导物流、资金流和商流”。价值网理论突破了传统价值链的线性思维和价值活动顺序分离的机械模式,围绕顾客价值重构原有价值链,使价值链各个环节以及各不同主体按照整体价值最优的原则相互衔接、融合以及动态互动,利益主体在关注自身价值的同时,更加关注价值网络上各节点的联系,冲破价值链各环节的壁垒,提高网络在主体之间相互作用及其对价值创造的推动作用(胡大立,2006)103。根据价值网理论,企业的商业模式创新,不仅可能发生于企业内部的价值链重构,也可能发生在企业价值网络的各个节点。当跨企业边界的价值网络形成的时候,商业生态系统因此成为企业组织之外商业模式创新发生的新的主要情境(Scaringella 和 Radziwon,2018)104。因此,我们将分别从价值链以及价值网(商业生态系统)两个视角来分析企业商业模式创新。1.基于价值链视角的商业模式创新传统商业模式的理论框架,本质上是围绕价值链展开。商业模式的四要素价值主张、价值传递、价值创造以及价值捕获对应着企业价值链中各个环节的生产活动、支持活动和交易活动,因此商业模式创新是对价值链的关键活动和组成要素进行的调整与变革。大多数学者认为企业通过价值链的创新、分解、整合等方式进行商业模式创新,例如,Timmers(1998)105最先提出价值链整合与交互模式,指出商业模式创新通过企业生产经营活动相关价值链的拆解和整合形成新的联结方式。高闯、关鑫(2006)106基于价值链理论认为商业模式创新是通过对企业全部价值活动进行优化选择,并对某些核心价值活动进行创新,然后再重新排列、优化整合而成的,并可将商业模式创新分为价值链延展型、价值链分拆型和价值链创新型三种基本创新模式。因此,从价值链的视角,通过对价值链上的增值环节和关键活动进行改进、创新与重组,并聚焦于价值创造、价值传递和价值获取三个方面,能够有效促进商业模式创新(田庆锋等,2018)107。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析332.基于商业生态系统视角的商业模式创新Amit 和 Zott(2009)108认为商业模式是一系列相互联系、相互影响的活动组成的系统,这个系统是以生产产品和提供服务的核心企业为中心,被生产商、供应商、消费者、政府、投资者等群体环绕的商业生态系统,该系统超越了企业自身的组织边界。在这个商业系统中不同群体承担着不同职能,有着不同的利益驱动,但又相互依存、资源共享、融合共生。这一视角打破了企业商业模式创新的边界,企业不只关注于内部,也关注与外界其他利益相关者的协同合作与利益分配。他们进一步解释了生态系统中,新颖性、锁定、互补和效率等四个商业模式创新来源。新颖性引入创新元素(例如新的作业、结构和方法),锁定则是吸引第三方成为参与者,互补以创造价值为目标通常沿着价值链对作业组合,效率则是对作业重组以降低交易成本(Amit 和 Zott,2001)109。Hamel(2000)110认为,要在变革的时代生存下去,企业必须设计新的商业模式,价值创造和捕获,均在包含供应商、合作伙伴、营销渠道,联合体等扩展企业资源的价值网络中产生。魏泽龙等(2017)111认为商业模式创新是企业对商业生态系统内资源要素的重新组合,企业需要通过外部学习来搜寻价值创造所需的资源和能力。王雪冬、董大海(2013)112总结商业模式创新过程的以下特点:首先,商业模式创新是企业内部对商业模式构成要素实施的变革。在此基础上,商业模式创新更是一种系统性创新,要求企业在顾客价值主张、运营模式、营销管理模式、收益模式等多个环节上实现新的突破,对商业模式构成要素进行系统性变革。再者,基于系统的商业模式视角,实施商业模式创新的企业不再是一个封闭系统,而是一个开放的平台系统;企业不只是产业链的一环,而是位于由多个利益相关方组成的价值网络中的一个核心结点。商业模式创新秉持“合作、共赢”的理念,把企业边界拓展到企业的利益关系和交易结构影响所及的全部利益相关者,最终组建以企业自身为核心的商业生态系统,企业通过该生态系统与消费者联系互动,让其参与到企业价值主张形成过程与价值创造过程;与上下游企业、互补企业以及其他合作方共同参与价值创造与价值分配过程,从而导致整个商业生态系统的价值创新。互联网经济的产生,企业之间的连接无所不在。商业模式创新,可延伸至其整个价值网络(价值链、价值星系、价值网、商业生态系统)的内部和外部,贯通价值网络的各个主体、节点、环节和流程。在线性价值链体系中,价值通过双方的交易产生的。而在商业生态系统中,价值通过网状交互关系形成,利益相关者之间处于竞合关系,实现价值共创。数字经济改变了价值创造的逻辑。价值网络,商业生态系统等的提出,为商业模式创新提供了新的思路。(五)商业模式创新分析框架我们需要借助一定的分析框架,来整合已有的关于商业模式创新的经验,以提供理论和实践的指导。Wirtz 和Daiser(2017)113分析了已有文献的各种商业模式创新框架,发现各自差异较多,他们经过对比梳理推导,构造了一个能解释商业模式创新因素,要素和维度以及相互关系的综合性概念框架(如图 3-7)。该框架由六个部分组成:数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析34(1)BMI 环境维度,包括宏观环境与微观环境;(2)BMI 核心维度,包括商业模式创新因素与商业模式创新领域(含商业模式要素与商业模式创新实施过程);(3)BMI 工具与方法;(4)信息和知识管理;(5)商业模式创新强度;(6)商业模式创新的结果(价值创造或捕获)。首先,环境维度指的是商业模式创新的外部驱动因素,全球化、监管问题、行业与市场环境的转变以及技术变革是宏观层面的主要驱动因素(Brews 和 Tucci,2004114;Voelpel 等,2004115),其中技术因素受到了较为广泛的关注;微观层面上,客户需求的不断变化、产品与服务的创新、外部竞争与公司的动态成长也是驱使商业模式不断自我更新的重要因素(Voelpel et al.,2004115;Giesen 等,2010116;Enkel 和 Mezger,2013117)。其次,在外部因素的驱动下,组织内部开始对商业模式创新的核心维度进行反思与洞察。先考虑下商业模式创新三因素 Who(目标客户)、What(价值主张)、How(价值传递系统)(Yang,2014)118。这三个要素解释了商业模式创新的特征:即创新主要通过市场或目标客户的变化、价值主张的改变以及价值创造或价值网络的改造来转变价值链。Johnson et al.(2008)80则笼统地以顾客价值主张来称呼这三个因素。商业模式创新因素,通过商业模式的创新领域发挥作用。商业模式创新领域包含了商业模式要素和商业模式创新流程。商业模式创新的方式多种多样,可以是重新设计新的商业模式,也可以是根据新的资源能力调整现有模式的组成要素或结构流程。商业模式创新流程可能是出于提高效率或效果的目的而做出的调整、改造与优化。此外,商业模式创新要素也会对商业模式创新流程产生影响。其三,商业模式创新的外部环境维度与其内部核心维度之间存在动态交互的关系。企业必须拥有内外部因素的相关知识,并具有识别商业模式创新计划的能力。具体表现为两个方面:一是组织应具有收集外部信息的技术和工具(Denicolai 等,2014)119,二是通过对信息的评估、验证与组合将其转化为可应用的知识(Kastalli 等,2013)120,因此框架里面呈现了这两个内容。其四,商业模式创新强度也是创新时需要考虑的一个重要维度,可分为渐进式(Hargadon,2015)121与激进型(Markides,200685;Bucherer 等,2012122)两大类。最后,从商业模式创新的结果来看,成功的创新应当是可持续的(Carayannis 等,2015)123、能带来竞争优势的(Teece,2010)124、并最终创造价值的(Amit and Zott,201282;Mezger,2014125),体现为商业模式的价值创造和捕获。其中价值并不只限于财务计量,而是企业通过创新获得的各种形式的回报。该框架基于商业模式创新概念的文献,结合现实的例子提供了商业模式创新研究的综合框架,包含了商业模式创新从最初的触发机制,到中间创新模式的形成过程,以及最终的创新成果这一完整过程,有助于加强理论与实务界对商业模式创新要素理论的理解,本文将其作为后续分析商业模式创新现象的一个主要基本框架。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析35图 3-7:商业模式创新综合性概念框架全球化顾客需求变化技术产品服务创新行业/市场变迁竞争法规/经济事项企业动能商业模式创新环境维度宏观微观知识信息加工与决策知识信息加工与决策商业模式创新核心维度商业模式创新因素商业模式创新领域为谁提供价值?目标客户群体商业模式要素商业模式创新流程/路径提供什么价值?价值主张如何提供价值?价值星系商业模式创新强度商业模式创新具有可持续性商业模式创新带来竞争优势商业模式创新结果:价值创造/捕获渐进式创新激进式创新资料来源:Wirtz B W.and Daiser P.2017.Business Model Innovation:An Integrative Conceptual Framework.Journal of Business Models,5(1):14-34.四、数字经济时代商业模式创新的理论框架(一)数字化商业模式、数字化商业模式创新含义与特征周文辉等(2018)126指出“数字经济使得企业在不确定的互联网环境下,通过模糊的运营边界与消费者、供应链合作者、员工及各利益相关者构建数字化的协作并获取超额利润,使得单一的商业模式向多元化、动态的商业模式转变”。当前,数字化转型已成趋势,由于数字化技术可能对商业模式的各个要素产生影响。因此,数字化商业模式的形态多种多样,很难有统一的定义。通过第二章文献综述,我们可以发现,数字化商业模式是将数字技术应用于商业模式创新的产物。与商业模式创新类似,数字化商业模式的变革,可以从商业模式要素或结构的转变展开,也可能是商业模式价值创造逻辑的变革。下文分别就要素角度和价值创造逻辑角度对数字化商业模式创新过程做进数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析36一步分析。就创新程度而言,变革可能只在现有商业模式的某些要素方面发生,也可能是对现有商业模式的价值逻辑的彻底颠覆。Trischler 和 Li-Ying(2021)127指出数字化商业模式创新的五个特点:(1)企业自发进行的、有目的性的创新,体现企业的战略意图;(2)数字化商业模式创新需要将过去以物理格式呈现的内容、过程或对象转变为数字格式;(3)创新不是对某些琐碎细节的简单改变,而是通过一些重要改变创造出新的商业模式;(4)数字化商业模式创新需要商业模式的关键要素发生改变(5)数字化商业模式的创新是一直不断地动态发展的。综上,本文认为,数字化商业模式是对传统商业模式的拓展,其聚焦于数字化维度,探讨组织如何利用数字化技术来强化其为顾客创造价值的逻辑、增强企业的价值创造能力。这种商业模式,实质是数字时代数字技术应用于商业模式创新的结果。数字化商业模式应能适应数字经济的环境需要,难以被其他企业模仿和超越的模式,才能使其转换为核心竞争力,形成企业的持续竞争优势,从而促使企业成功。通过对文献的梳理,本报告总结出数字化商业模式相对于传统商业模式的特点主要表现为以下几个方面:1.数据智能创造商业价值,用户行为数据通过产品终端实时反馈到数据智能的“云”上,“云”上的优化结果又传递到“端”,实时提升用户体验。在这一反馈闭环中,数据持续增值、算法持续优化、产品持续改进功能,在为用户提供更好的产品体验的同时,也使企业提供产品和服务的成本越来越低、效率越来越高(曾鸣,2018)128。2.传统商业模式中价值是在企业内部创造然后交付给客户,但在数字化商业模式中,产品与服务的价值是由客户的使用过程决定的(Vargo 和 Lusch,2008)129,即价值由企业和客户共同创造。3.数字化商业模式以数字平台为中心,形成了全周期用户参与、全流程价值交互和全生态跨界协同的价值网络(曹仰锋,2019)130,依靠数字平台来平衡有多个利益相关方组成的生态系统之中各方的利益(Iansiti 和 Levien,2004)131。4.数字化商业模式是不断动态变化的。数字技术的发展会不断催生出新的需求,通过不断改进数字化商业模式有助于跟上竞争对手和客户需求(Parida 等,2019)132。此外,在当今环境下,企业的数字化商业模式对外界而言是透明的(Weill 和 Woerner,2013)133,很有可能遭到竞争对手的模仿,因此企业必须不断地对自身商业模式进行调整。另外,在数字化进步的背景下,企业的商业模式未必一开始就是正确且合适的(Cheah和 Wang,2017)134,数字企业需要不断迭代其商业模式,以建立必要的产品市场契合度(Kohtamki 等,2019)135。5.传统商业模式下,企业的核心竞争力来源于对稀缺的、独特的、有价值的资源的控制(Barney,1991136;Parker等,2016137),通过控制资源为客户创造更高质量的产品和服务,从而提升客户价值;基于平台的数字化商业模式对产品和/或服务本身没有直接的控制(Van Alstyne 等,2016)138,其核心竞争力来源于平台的参与者网络中各方的交互、信息的交换以及资源的整合能力(马蓝等,2021)139,这些无形资产能够帮助平台不断扩大这种商业模式的竞争力与增长空间(Tan 等,2015140;McIntyre 和 Srinivasan,2017141)。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析37(二)数字化商业模式要素的特征及未来发展趋势数字化的三个基本过程是表征、连接和聚合(Ander 等,2019)142。数字表征是从物理格式到数字格式的改变,是一种形式上的转变;数字连接能够增强组织、个体以及物体之间的联系,打破组织边界与时空边界、创造新联系,是一种连接性改变;数字聚合体现企业整合不相关数据资源解决问题的能力,是智能的一种体现。数字化的表征、连接和聚合功能能够在价值主张、价值创造、价值传递和价值捕获等商业模式的四个要素上体现。首先,价值主张是商业模式的核心要素。数字化价值主张的核心特征就是关注并不断提升用户体验。数字技术使企业能够在企业与用户之间建立双向沟通的渠道,它赋予用户主动表达偏好的能力,同时也使得核心企业能够自由地访问、获取用户的个性化需求数据,从而更有效地执行服务流程(Kane,2014)143,满足用户的个性化需求。企业提供的数字化产品或服务具备数字感知功能和持续迭代功能,能够进一步挖掘用户的潜在需求并不断改进用户体验。数字价值主张的价值属性表现为使用价值、情感价值、体验价值和社会价值的交互融合(钱雨、孙新波,2021)144,而传统价值主张主要聚焦于产品的使用价值,这为数字化时代的企业提供了更多潜在的服务创新机会(Mani和 Chouk,2018)145。其次,数字价值创造的核心特征是敏捷性和交互性,是企业为实现数字价值主张,利用数字技术建立用户的交互渠道,加强组织流程的衔接与结构灵活性,并嵌入生态系统中广泛联合合作伙伴共同参与的端到端的价值增值活动(钱雨、孙新波,2021)144。其三,数字价值传递的核心特征是连接性。价值传递分为客户细分、客户关系管理和渠道通路三个方面。客户细分在企业设计数字价值主张时就已经有所体现。数字化表征和数字化连接使得企业能够以数据形式获得多方位、多渠道的信息,数字聚合使得企业能够将所获取的各类数据信息进行整合利用,最终生成每个用户的独有画像。通过对用户画像的归类,企业能够对不同类型的细分客户提供异质性的产品或服务,并通过丰富的数字渠道将产品或服务传递给客户。最后,由于价值创造逻辑转变为以客户为中心,数字价值捕获取逻辑也发生了两个层面的变化。一方面,由于价值网络的去中介化,合作伙伴与用户之间建立直接资源交换关系,商业价值不仅是由企业提供给用户,还可能是利益关系人参与共创形成的,价值获取衍生为企业与利益关系人的价值分配问题。另一方面,数字化可以对基于用户需求特征进行精准画像,建立基于用户的差异的定价体系,企业的成本结构与收入模式也变得更加多元化。总之,数字化时代将数字经济的应用推动传统商业模式创新。至于其未来,学者总结出三大趋势:价值颠覆,平台模式和跨界融合(鲍舟波,2018)146。其一,价值颠覆。价值颠覆就是指用数字化技术让产品和服务变得更简单、更便捷、更便宜。首先,更简单是指通过技术上的变革使得复杂的被简化了,从而更容易操作和使用;同时,也正因为这种易于操作和使用,使更多的客户容易接受。其次,更便捷意味着用户能够更容易且快速地获得产品。最后,更便宜不等于打低价的价格战,而是一种由于数字化时代技术进步带来效率提升而导致的红利。这种颠覆式的价值创新与传统的渐进式价值创新的区别在于,颠覆式创新专注于此前未被发掘的新兴市场或低端市场,不再在已有的竞争市场沿着传统的发展路径持数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析38续创新,而是打破这条发展路径,通过生产更加平价和易于操作的产品,使之前没有能力消费既有产品的人们成为新的消费者。其二,平台模式。本质上平台模式就是在买卖双方之间搭建沟通、交易的渠道或平台,降低买卖双方的交易成本,以此来获得回报。早在 20 世纪 90 年代,基于平台创造价值的方式就已经被确定为最重要的商业结构之一(Stabell和 Fjeldstad,1998)147,传统的物质世界的交易平台受物理空间和经营时间的限制,平台做到一定规模后就无法再继续增长。如今的数字化平台减少了对物理基础设施和重资产的需求,信息与通信技术的发展使得数字平台发生质的重要飞跃,平台经济通过使用数字技术将人、组织和资源连接在一个可以创造价值的虚拟的互动生态系统中,从而方便消费者访问、购买和使用各种各样的产品和服务(Hagiu,2009148;Parker 等,2016137)。鲍舟波(2018)146认为,数字化技术推进的战略路径,其主要分为三个阶段:围绕消费者的数据化、围绕基础设施的数据化和围绕生产端的数据化。目前数字化平台的构建中,2C 平台的基本格局已定,数字化基础设施也发展的较为成熟,因此未来商业模式创新的机会在于行业垂直平台中 2B 平台的建设。行业垂直平台需要整合上下游需求以及第三方服务,增进产业链上信息的透明度,降低供应链成本,提高产业链整体效率。其三,跨界融合。跨界的本质是多元化发展,具体指的是同心多元化和混合多元化。传统企业跨界成功的关键取决于其自身的发展阶段和拥有的资源与能力,数字化时代产生的数据和算法打破了由于资源和能力限制导致的行业边界和企业边界,企业边界变得模糊,跨界不再受自身行业分工与资源能力的限制,跨界的难度大大降低。通过跨界融合能够将不相关的创新元素进行需求与价值的连结,并创造出新的需求(邵蜻婷,2019)149,跨领域协作还能提高产品对环境的适应性、延长产品生命周期,最终都能使企业为消费者提供更多的价值。数字化时代的跨界形式主要有两种:一是产品智能互联导致的跨界融合;二是客户被大量聚集导致的跨界融合。不管是哪种跨界融合,最终都将形成以平台为核心的生态模式。(三)数字经济下商业模式创新的核心维度前面我们从商业模式要素角度,描述了数字化商业模式的静态特征。而数字化商业模式本身作为商业模式创新,是一个动态过程,对其的认识,不仅需要了解其静态特征,还需要理解数字技术驱动商业模式创新的动态过程。数字技术对企业而言具有增强和使能的功能(Amit 和 Han,2017)150。数字增强是通过数字化方式优化企业原有业务的价值创造与获取的逻辑,体现为数字技术与传统业务相结合,即主张利用数字技术完善现有商业模式。数字使能是指通过数字化手段使得原先不可能出现、无法进行的交易和业务变成可能,体现了新的价值创造与交付的逻辑,即利用数字技术开发全新的商业模式。数字技术通过创建新的组织结构、收益模式、价值交换机制以及跨组织边界的平台,成为驱动商业模式创新的关键动力和重要能力(Li,2020)151。从要素的角度来看,数字化转型在一定程度上会引发组织结构与内部流程发生变化,即影响企业的价值支持系统;可以根据数据驱动的需求为客户提供更精准与个性化的服务,建立新的数字分销渠道、客户参与形式以及客户关系,从而创新企业的价值主张内容以及价值传递系统(张振刚等,2022)152;企业还可以通过数字化平台跨越组织边界与时空边界(Autio 等,2018)153,开发新的行业与市场,丰富企业的价值获取方式。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析39从价值创造的逻辑来看,数字经济影响下产品价值的颠覆、商品主导到服务主导逻辑的转变、共享平台与跨领域的协作,无一不指向全新的价值创造逻辑,即借助数字平台联系起来,在由客户、核心企业、供应商、合作伙伴等其他利益相关人组成的价值网络中共创共享价值的商业生态系统。这两者分别对应了数字增强效果下、基于商业模式要素框架进行的渐进式数字化商业模式创新,和数字使能效果下、基于全新价值创造逻辑的颠覆式数字化商业模式创新。根据前文对商业模式创新的理论分析,创新可分为渐进式创新和颠覆式创新,数字化时代商业模式创新过程也分为渐进式和颠覆式两种,一种是基于商业模式要素框架,对部分或全部要素进行数字化变革;一种是颠覆整个商业模式的价值创造逻辑,产生全新的商业模式。以下我们将基于前文的商业模式创新框架,探讨数字经济下商业模式创新的三个核心维度的变化。即基于要素框架的数字化商业模式创新、基于价值创造逻辑的数字化商业模式创新(商业模式创新因素)和数字化商业模式创新动态过程。1.基于要素框架的数字化商业模式创新基于前述商业模式框架下数字化商业模式特征,数字化商业模式创新就是将数字化技术应用于商业模式要素,那么创新将表现为重塑价值主张、重振价值传递、重构价值创造、重生价值获取,如图 3-8(刘继承,2021)88。由于前文已经从商业模式要素角度探讨了数字化商业模式的特征,此处侧重从其如何区别于传统商业模式做进一步补充。图 3-8:基于要素框架的数字化商业模式创新资料来源:刘继承.数字化转型 2.0:数字经济时代传统企业的进化之路 M.北京,机械工业出版社,2021.重生价值重塑价值创造重构价值主张重振价值传递张首先,重构价值主张,重新定义顾客,为顾客提供新的产品和服务,满足顾客需求。将主动权交给用户,从用户需求出发,通过对用户需求的深入发掘、理解和把握,在此基础上针对用户需求进行全面的价值创新。传统企业的价值主张一般是以产品为中心,数字化时代产品开始向服务或平台转型。其一,从产品向服务转型。传统制造业的重心是关注自身的资源和产品制造,价值主张创新的最主要思路就是对优势资源进行整合,向关注“制造 产品 服务”的全流程创新,实现商业逻辑从商品主导向服务主导的进化。其二,从独立运营向行业平台转型。互联网数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析40的世界是无边界的,互联网技术的存在为搭建一个足够大的行业平台提供了可能性,而在平台模式下,各个参与方都可以以较高的效率和较低的成本获取自身想要的利益,达到合作共赢的局面。其次,商业模式的价值传递环节是数字化时代商业模式创新最活跃的环节,包括客户细分、客户关系和渠道通路三个方面。重振价值传递重新设计与用户接触端的价值链,以极致方式与用户链接,为用户服务。首先,在客户细分方面,传统方式下根据用户的需求与对企业贡献的大小只能将用户进行粗略的分类。数字化时代有了大数据和云计算技术的支持,可以进行更加细化的区分,很多互联网公司根据用户画像,可以把用户细分为上千类,并根据不同的类别设计相应的产品、推荐个性化方案。用户细分是商业模式创新的关键点,创新点往往存在于某个细分用户的市场中,创新也往往是从细分市场甚至是低端细分市场切入才能真正改变现有竞争格局。其次,在客户关系管理方面,如何建立企业与用户之间的依存型关系是最核心的,企业必须做到持续增加并完善用户价值。最后,许多企业的商业模式创新,往往是渠道的调整和重构。数字化时代渠道通路设计的主要方法是用户旅程,要站在用户视角,设计更便捷、更科学的旅程,为用户提供顺畅的渠道通路。用户旅程是指用户首次与企业接触直至下单并享受产品或服务的互动旅程,其目的是梳理用户与企业在线上线下的交互点,从公域触点引流出发,向线上私域流量以及线下流量扩散,线上线下销售渠道双布局,并打通二者之间的互动,形成一条完整的跨渠道的体验视图。其三,重塑价值创造。企业需要利用新的思维、新的技术,对关键资源,关键业务和关键合作伙伴领域进行重塑,寻求新的模式与做法。核心资源是企业核心竞争力的来源,数字化时代,企业所拥有的实体资源不再成为企业核心竞争力的重要来源,资源整合能力才是企业创新成果与获取竞争优势的关键,而企业的数字化能力决定了其资源整合的能力。因此,企业拥有的大数据、商务智能等数字化能力变得越来越重要,在企业的核心资源中占据一席之地。关键业务是企业用来创造价值的活动,一般可分为制造产品、问题解决方案和平台三种。合作伙伴与企业一起完成了价值的创造与传递,企业通过为利益相关方赋能,让合作伙伴能够与企业一起获得整体利益最大化,这样的方式促进了商业模式的创新。其四,重生价值获取。要关注商业模式的成本结构和盈利模式。增加盈利有两种方式,一是增加收入,二是减少成本。常见获取收入方式有资产直接销售收入、使用服务收费、服务订阅收费、租赁收费、授权收费、经纪收费和广告收费。数字化时代商业模式创新需要企业建立多种收入来源。重塑成本结构需要企业结合自身的竞争战略加以考虑,传统的以成本驱动的商业模式应尽可能地降低成本,而对于以价值驱动的商业模式而言,应专注于创造价值。此外,当价值创造在商业系统中实现时,还需要考察价值如何在各个参与者之间的合理分配。2.基于价值创造逻辑的数字化商业模式创新当前,数字经济快速发展,其变化具有三大特征:平台支撑、数据驱动和普惠共享。数字化转型使企业能够通过智能制造与客户共同创造价值;通过数字平台和生态系统创造新价值。商业模式的核心在于价值,基于商业模式框架里对要素的调整或创新,并不足以完整体现数字时代商业模式的价值创造逻辑。平台与数字技术的日益普及使得当前的商业模式创新已经突破组织边界,延伸到价值链、价值网络和价值生态系统,当进入商业生态系统为基础的商业模式,企业的价值创造逻辑将发生变化。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析41波特提出的价值链从战略行动的重要性方面解构企业,不仅揭示了企业内部各种活动对价值创造的作用,并且强调企业利润的实现突出表现为上下游之间相互竞争的结果(Porter,1980)154。企业价值创造过程是一种将投入转为产出的过程,供应商提供原料,厂商应用资源将其转换为产品,并传递给顾客从而实现价值。价值链理论过于强调竞争,而 Brandenburger 和 Nalebuff(1996)155提出的价值网络理论则认为,合作与竞争是企业成功不可或缺的两个侧面,一心专注于竞争会导致企业忽略商业关系的发展变化,进而失去扩大市场、创新利润模式的机会。价值网模型在企业、顾客和竞争者之外增加了互补者,同时也提倡竞争和合作的双重性(王琴,2011)156。价值网相对于价值链,更关注整个网络成员共同效率的提升和整体竞争优势的增强,在此前提下各个成员企业价值的提升;价值网还把客户作为企业价值创造的参与者,企业通过强化与顾客的沟通与客户共同创造价值(张新华,2018)157。价值网观念超出了价值链的线性思维,将关注重心从企业利益转向网络整体利益、从价值分配转向价值的共同创造、从竞争转向合作共赢。价值网理论为企业之间和合作与网络化发展提供了商业模式创新的新思路。不过,现实的价值网络更为复杂,网络参与者除了顾客、供应商、竞争者和互补者之外,还包括其他多种类型的经济主体,如广告商、商业伙伴、联盟企业、中介机构(渠道商、贸易商等各种服务提供者)、政府等,这些不同类型的参与者之间通过特定的方式建立起直接或间接联系,互为依存、彼此联动构成了一个复杂的利益共同体,即商业生态系统(Moore,1993)158。与价值网络相比,生态系统涉及以核心企业关联的多个行业,是多企业的交叉网络,并且更强调协同合作,协同进化促进创新过程。商业生态系统是由相互联系的企业和关系构成的创造和分配企业价值的复杂网络,网络参与者之间存在不同价值链,其相互交织形成价值网存在多个共生关系。生态系统具有共创和协同的特点,强调共同价值观和高度合作,传统商业模式的要素框架无法完整地展现这种逻辑性的变化。传统商业模式理论,本质上是基于价值链的,价值链是线性的,其价值创造方式基于供应商企业和顾客之间的线性交换关系。然而,数字时代数字技术的应用带来了商业逻辑的无限可能,企业职能可能超越边界,产品、流程、渠道、供应链乃至生态系统都受到了影响。根据价值共创理论,价值创造的主体不再是单一的企业,而是由包含顾客的利益相关者群体构成的价值共创生态圈。价值创造主体由企业主导转向企业与顾客共同主导,企业的经营可能借助平台和生态系统基础的商业模式展开,出现了竞合与价值共创。商业生态系统的价值创造是基于企业和利益关系人之间的协同合作、价值共创的网状结构,在生态系统和价值共创逻辑下,商业模式关注总体价值的创造,重视价值创造和传递的动态性,以及价值活动中各参与者的非线性互动。数字化的应用,使企业的价值创造从价值链向价值网转变时,商业模式创新的核心因素 Who、What 和 How发生根本性改变(Writz 和 Daiser,2017)162。首先,商业模式创造价值的对象从为顾客创造价值转为为企业和利益关系人整体创造价值。其次,随着价值创造从企业与顾客之间的二元关系转化为企业与众多生态系统参与者的网络关系,企业从满足顾客价值主张,转为满足利益关系人价值主张。数字时代服务经济与体验经济的兴起,使企业逐渐从产品提供者转为服务提供者、方案解决商,并进化为平台型企业,其为顾客提供的价值主张转变为包含内容、体验和平台(Weill 和 Woerner,2013)133的多层次价值主张。内容指数字化产品及相关数字化内容,体验是为顾数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析42客提供数字化体验,平台指由一系列的数据、数字化业务流程和数字基础设施构成的数字化平台。最后,企业的价值创造不再是线性的,而是产生了基于生态系统的价值共创与价值协同机制,具体体现为商业模式的价值传递和价值创造两要素的变化。在价值传递方面,通过互联网进行的价值传递并不限于企业向消费者的单向传递,而是在企业与消费者之间、消费者与消费者之间交叉双向传递。在价值创造方面,生态系统的价值体系关注如何通过共同协作为整个网络增加价值。在由多种利益关系人构成的跨企业边界的价值网络中,各个企业自身的优势资源和能力,通过跨界连接并融合发展,企业可以通过生态网络获取自己所不具备的或较低成本的资源;同时其自身的资源或能力,也可以通过生态系统让渡出去实现价值,这种开放式的合作使得企业能够充分利用各自的优势资源,获取规模经济,创造出大于各自单独价值总和的整体价值。此外,消费者也参与到企业的价值创造过程中,这样就通过多方协同共同创造出新的价值。商业模式创新因素应用的结果,以是否实现价值、获取价值来衡量,基于生态网的价值创造逻辑,企业从关注价值交换转为关注价值共创和价值分配,这是整个生态系统体系中变化最大的部分。然而随着全球竞争、市场变化和新技术变迁,尤其受信息技术和互联网经济的推动,产品或服务的价格与价值日益呈现背离倾向,顾客越来越能够以较低的价格甚至免费享受高质量产品或服务,这反映了企业商业模式变迁的一个显著趋势:顾客价值创造与传递过程与企业价值实现过程逐步分离。也就是说,即使企业向顾客提供了满足其需求的优质产品或服务,也无法直接从中实现收入(王琴,2011)156。因此,企业只有开拓新的商业交易内容和交易方式才能完成价值获取,企业通过低价甚至免费产品吸引顾客,同时通过其他关联产品或持续服务获取收益。此外,引入第三方平台或从价值网络的其他利益关系人(受益人处)获取收入。生态系统的网络效应使企业有机会获得额外的价值。数字化技术打破了商业交易平台的物理时空约束,交易场所、交易时间、交易环节、交易速度都被改变,释放出巨大的价值。各个生态系统参与者在其中都有所贡献,并获得相应的回报,企业除了关注收入和成本,还需要考虑价值在各个参与者之间的合理分配。此外,价值并非完全以货币来表达,也可能呈现其他形式。从而使企业有机会考虑为社会、经济和环境各个维度的贡献。通过上述分析可以看出,传统商业模式的要素框架,无法完全反映生态系统中数字化商业模式的特征,其价值逻辑已经发生根本性改变。Russo-Spena 等(2022)159基于文献和实证数据,以价值协同、体验主张和价值共享作为数字化商业模式的框架,将数字技术影响下的价值主张与价值传递特征归纳为提供体验的主张,体验主张是从传统的价值主张,转为包含了顾客的交互流程,提供线下线上的体验;将生态系统中价值共创的价值创造过程称为价值协同;价值捕获从提供价值这一单向交易方式转变为价值共创共享,数字价值共享的结果也从只考虑货币价值转为多元的价值结果,描述了提高效率和收入的机会,使可持续发展的自然社会和经济资本的平衡使用成为可能。基于此,我们从数字化商业模式特征中提取出以价值创造逻辑为标准的分类体系,如图 3-9。这种基于价值网或商业生态系统的数字化商业模式创新,根本上是其价值创造逻辑的颠覆性改变。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析43图 3-9:数字化商业模式价值创造逻辑的两种途径图 3-10:数字时代商业模式类型的划分商业设计WHOWHATHOW价值链顾客产品/服务线性价值创造价值网(生态系统)利益关系人内容/体验/平台协同创造价值价值捕获价值提供价值共创结果资料来源:作者编制数字化商业模式创新,可能发生原有价值链之上,通过利用数字技术改变商业模式要素产生。也可能是价值创造逻辑延伸到价值网,通过协同创造价值。3.数字化商业模式创新过程根据 Writz 和 Daiser(2017)162的商业模式创新分析框架,我们已经从商业模式要素创新角度和商业模式创新因素(价值创造逻辑)角度解构和重构了数字化商业模式,接着我们需要讨论商业模式创新的过程。同时,现实生活的商业模式多种形式,可能存在多种要素的同时变化,需要提炼出具有普遍性能概括数字化商业模式本质的分类维度,从而建立相应理论框架,以为理论和实践指引。Weill 和 Woerner(2015)160发现数字经济时代,各个行业企业的数字化变革围绕两个层面展开:对终端客户的了解和业务的设计,以这两个维度将商业模式类型分成了供应商、全渠道经营者、模块生产者和生态系统驱动者四类(如图 3-10)。对终端客户的了解完全部分价值链价值网价值创造逻辑生态系统驱动者 提供知名平台 保证极致顾客体验 即可插即拔式第三方产品 与供应商共同配合顾客需求 收取租金模块生产者 即插即拔式产品与服务 适应多种生态系统 产品与服务持续创新全渠道 掌握客户关系 多产品多渠道顾客体验,寿命周期管理 融合价值链供应商 通过经销商销售 可能失去控制力 能力:低成本生产能力,增量创新资料来源:Weill P,Woerner S L.Thriving in an increasingly digital ecosystemJ.MIT Sloan Management Review,2015,56(4):27.数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析44左下角代表供应商模式,该模式下的企业对终端客户的了解有限,常通过价值链上其他更有控制力的企业如经销商来向顾客提供产品或服务。例如,通过代理销售机票的航空公司,通过 4S 店销售汽车的汽车制造厂。许多传统企业长期以来都是供应商模式,随着数字化技术的应用,信息检索变得简单、信息更加透明,这类企业面临降价压力,很容易失去对市场和用户的主导权。企业往往通过提高效率降低成本以抵御价格下降的压力,但这远远不够。随着数字化的深入发展,顾客的要求日渐提高。如果没有办法了解顾客需求,不了解其痛点,那么企业必须想办法增强其差异化特性,或者考虑在生态系统之外的渠道商。左上角代表全渠道模式。传统供应商通过品牌塑造、直销、社交网络和其他基于数据的方法来强化与顾客的联系(例如精准客户画像,精准发现可能需求,提供个性化服务,企业全景数据仓库支持决策),使顾客参与到产品的开发设计过程中,从而转变为全渠道的模式。全渠道模式通过线上线下渠道为顾客提供产品,给顾客更多的选择和无缝对接的体验。例如,海尔衣联网以智能终端为触角,了解用户生活习惯,基于数据深度挖掘并于第三方服务对接,针对衣物为用户提供全生命周期的解决方案。右下角代表模块式生产者,采用的是插件式服务,其可以应用于多个生态系统中。例如支付宝等第三方支付,由于无需硬件支持,支持移动支付,架设于云端,很容易在各种生态系统中应用。除了应用于淘宝天猫,支付宝已经贯穿到我们日常生活的各个场景,只要是需要移动支付的场景,都需要打开支付宝等第三方支付平台。当技术壁垒下降、管制加强的时候,类似微信,云闪付的加入增加了这类企业的竞争激烈程度。这类企业需要不断推出新产品和服务,加强与顾客的联系,使顾客建立习惯,从而增加顾客转向其他支付平台的转换成本、提高顾客粘性。模块式生产者与生态系统驱动者的不同在于对终端顾客的了解较为有限,只拥有其所掌握的交易信息。右上角代表生态系统驱动者模式,有些企业通过与其他提供互补品的合作伙伴合作联系,建立商业生态系统。这类企业拥有终端消费者和前端供应者,这两方面都占据优势,不仅拥有顾客关系的主权,在向顾客出售自身多渠道多元业务的产品和服务时,也为其他生态系统的参与者销售产品,并获取租金。例如京东平台既有自营业务也为平台入驻的第三方店铺提供销售商品的渠道。与全渠道经营模式相似的是,生态系统驱动者也需要利用品牌优势来吸引参与者,强化向顾客提供的一站式服务。这种模式其依靠顾客评价打分来强化其声誉增加收入,此时顾客角色从消费者转变为价值共创者,通过连接和互动参与产品寿命周期管理,共同创造价值。这个分类模型的两个维度,实际上提供了商业模式创新的两种分析路径:要素创新及价值逻辑创新(杨林等,2021)161。商业模式创新本质上是价值的解构和重构,解构是对要素的创新,而重构则是对价值逻辑的创新。前者,围绕商业模式的构成要素展开,而后者则根据价值创造逻辑,从价值链到价值网(生态系统)转变。以 Writz and Daiser(2017)162的商业模式创新综合框架观之,其中,要素的数字化创新,反映了商业模式创新的结果;价值逻辑创新,则表现为商业模式创新因素的变革。前者是重在特征的提炼,后者重在驱动因素的提炼。该数字化商业模式分类模型其实也指出了价值逻辑的创新的路径:传统的商业模式下,企业处于供应者位置,其商业设计属于价值链模式;数字化使企业向生态系统驱动者转变,价值创造逻辑从价值链转变为价值网、从提供价值转变为价值共创。因此,企业商业模式数字化转型的过程有三种(如图 3-11):(1)在价值链逻辑下进行要素变革,强化与终端客户的联系;(2)对价值创造逻辑变革,从价值链转为价值网,将自己定位于生态系统网络中;(3)同时进行要素与价值逻辑的变革,成为生态系统驱动者。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析45在选择商业模式创新路径时,管理者应确定其战略方向,是继续停留在原来的价值链上或是在生态系统中找到自己的定位?是满足于当前对终端客户的了解程度,还是通过商业模式要素的调整、强化对终端客户的认知?Weill和 Woerner(2015)160的研究表明,参与到生态系统的企业,获得的价值高于只在价值链中经营的企业。当然数字时代,上述四种模式都是可能成功,并且企业可能同时采取不只一个的商业模式,关键是企业要明晰其战略所在及资源和能力水平,并设计相应的商业模式。基于前面的分析,我们提炼出基于要素和基于价值创造逻辑的两种数字化商业模式创新的测度与数字化的主要特征表现,如表 3-1。表 3-1:数字化商业模式价值创造逻辑的两种途径测度数字化特征 商业模式要素创新重构价值主张、重振价值传递、重塑价值创造、重生价值捕获数字技术应用程度,导致增强与终端顾客的联系,提高为顾客创造的价值,从而实现自身价值增加 商业模式价值创新为谁创造价值,提供什么以及如何创造价值从价值提供转为价值共创,通过提供内容体验或平台与生态系统伙伴共创价值,提升网络价值和企业的价值资料来源:作者编制图 3-11:数字化商业模式转型路径对终端客户的了解完全部分价值链价值网价值创造逻辑生态系统驱动者模块生产者全渠道供应商资料来源:作者编制(四)数字化商业模式创新综合分析框架至此,我们对数字化时代商业模式创新核心维度,即商业模式创新因素、商业模式要素和商业模式创新流程都做了分析。结合数字化商业模式的要素创新和价值逻辑创新的特点,以及数字时代生态系统已成为市场主导的特点,我们提出以下数字化商业模式创新的综合分析框架,如图 3-12。该框架是对 Writz 和 Daiser(2017)162分析框架的微调,依然保持了 6 个要素,但重点对商业模式创新的核心维度和创新结果做了改造。数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析46其一,我们将企业的内部环境置于商业生态系统中,因为当前平台无所不在,即便是在自己单一价值链展开经营的企业,其价值链也将与其他生态系统的参与者发生交集,例如利用第三方支付平台结算,通过税务和金融的系统展开业务等等,企业经营都发生在一定的生态系统中。其二,关于数字化商业模式创新因素,区分了价值链和价值网下的不同的 Who、What 和 How。其三,在 Weill 和 Woerner(2015)160模型的基础上,提炼出数字化商业模式创新的三条路径:要素框架数字化、价值创造逻辑网络化或二者兼具。最后,数字化商业模式创新的结果,是要素或要素的整体发生了数字化转型,形成了数字化商业模式。如果从价值捕获来考察,则因数字化创新强度的不同,表现为通过价值提供创造了价值(渐进式商业模式创新),或通过价值共创创造了价值(颠覆式商业模式创新)。其中,要素创新路径可能更多指向渐进式创新,而价值逻辑的创新可能更多指向颠覆式创新。图 3-12:数字化商业模式创新的综合分析框架全球化顾客需求变化技术产品服务创新行业/市场变迁竞争法规/经济事项企业动能商业模式创新环境维度宏观微观知识信息加工与决策知识信息加工与决策商业模式创新核心维度商业生态系统DBMI 因素(价值创新)WHO?顾客或利益关系人DBM 要素重生价值重塑价值创造重构价值主张重振价值传递WHAT?产品服务或内容体验平台HOW?价值链或价值网络商业模式创新强度商业模式创新结果价值捕获渐进式创新价值提供价值共创颠覆式创新资料来源:作者编制DBMI 路径价值链价值网价值创造逻辑生态系统驱动者模块生产者全渠道供应商对终端客户的了解完全部分数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析471 The digital economy:promise and peril in the age of networked intelligenceJ.Choice Reviews Online,1996,33(09):33-5199.(https:/ 康伟,姜宝.数字经济的内涵、挑战及对策分析 J.电子科技大学学报(社科版),2018,20(05):12-18.DOI:10.14071/j.1008-8105(2018)-1168.3 中国信通院.(2022).中国数字经济发展白皮书(2022).4 G20 官网.二十国集团数字经济发展与合作倡议 EB/OL.(2016-09-20)2019-11-02.http:/www.g20chn.org/hywj/dncgwj/201609/t20160920_3474.html.5 李东红,葛菲,杨主格,等.中国企业数字化转型研究报告 R.北京:清华大学全球产业研究院,2020.6 埃森哲.发现新动能:中国制造业如何制胜数字经济 R.20177 IBM Institute for Business Value,Digital transformation Creating new business models where digital meets physical.8 Osterwalder A,Pigneur Y.Business model generation:A handbook for visionaries,game changers,and challengersM.New Jersey:John Wiley and Sons,2010.9 Magretta,J.(2002).Why business models matter.Harvard Business Review,80(5),8692.10 日 三谷宏治.商业模式全史 M.马云雷,杜君林.江苏:江苏凤凰文艺出版社,2016:1-36.11 美 彼德德鲁克.21 世纪的管理挑战 M.朱雁斌.北京:机械工业出版社,2009.12 Teece,D.J.,2010.Business models,business strategy and innovation.Long.Range Plan.43(23),172194.13 Chesbrough,H.(2010).Business model innovation:Opportunities and barriers.Long Range Planning,43(23):354363.14 Business Model Innovation:Opportunities and Barriers,Henry Chesbrough.15 陈劲,杨洋,于君博.商业模式创新研究综述与展望 J.软科学,2022,36(4):1-2.参考文献数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析4816 白福萍,刘东慧,董凯云.数字化转型如何影响企业财务绩效基于结构方程的多重中介效应分析 J.华东经济管理理,2022,36(09):75-87.DOI:10.19629/ki.34-1014/f.220224020.17 Chesbrough H,Rosenbloom R S.The role of the business model in capturing value from innovation:Evidence from Xerox Corporations technology spin-off companiesJ.Industrial and Corporate Change,2002,11(3):529555.18 Zott C,Amit R.Business Model Design and the Performance of Entrepreneurial FirmsJ.Organization Science,2007,18(2):181-199.19 Georg Stampfl.The Process of Business Model Innovation An Empirical Exploration,Springer Gabler Wiesbaden.2016:2-43.20 魏江,刘嘉玲,刘洋.数字经济学:内涵、理论基础与重要研究议题 J.科技进步与对策,2021,38(21):1-7.21 BICAN P M,BREM A.Digital Business Model,Digital Transformation,Digital Entrepreneurship:Is There A Sustainable Digital?J.Sustainability,2020,12(13):1-1522 Kavadias S,Ladas K,Loch C.The transformative business modelJ.Harvard business review,2016,94(10):91-98.23 张敬伟,涂玉琦,靳秀娟.数字化商业模式研究回顾与展望 J.科技进步与对策,2022,39(13):151-160.24 LaBerge L,OToole C,Schneider J,et al.How COVID-19 has pushed companies over the technology tipping pointand transformed business foreverJ.McKinsey&Company,2020,5.25 刘志迎,吴敏莲.新产品开发与商业模式设计的过程融合与循环迭代基于科希曼的探索性研究 J.管理案例 研究与评论,2019,12(2):124-13526 武常岐,张昆贤,陈晓蓉.传统制造业企业数字化转型路径研究基于结构与行动者视角的三阶段演进模型J.山东大学学报(哲学社会科学),2022(04):121-135.DOI:10.19836/ki.37-1100/c.2022.04.012.27 Girotra K,Netessine S.The Risk-Driven Business Model.2014.28 David J.Teece.Business Models,Business Strategy and InnovationJ.Long Range Planning,2009,43(2).29 Paul Timmers.Business Models for Electronic MarketsJ.Electronic Markets,1998,8(2).30 Weill P,Vitale M.Place to space:Migrating to eBusiness ModelsM.Harvard Business Press,2001.数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析4931 B.Mahadevan.Business Models for Internet-Based E-Commerce:An AnatomyJ.California Management Review,2000,42(4):55-69.32 王晓辉.关于商业模式基本概念的辨析 J.中国管理信息化(综合版),2006(11):26-27.33 Raphael Amit and Christoph Zott.Value Creation in E-BusinessJ.Strategic Management Journal,2001,22(6/7):493-520.34 Williamson O E.Organizational innovation:The transaction cost approachM.University of Pennsylvania,Center for the Study of Organizational Innovation,1980.35 Christoph Zott,Raphael Amit.Business Model Design:An Activity System PerspectiveJ.Long Range Planning,2009,43(2).36 Saila Tykkylinen,Paavo Ritala.Business model innovation in social enterprises:An activity system perspectiveJ.Journal of Business Research,2020(prepublish).37 Cantrell L J,Linder J.Changing business models:Surveying the landscapeJ.Accenture Institute for Strategic Change,2000,15(1):142-149.38 Stewart D W,Zhao Q.Internet marketing,business models,and public policyJ.Journal of public policy&marketing,2000,19(2):287-296.39 Osterwalder A,Pigneur Y.Business model generation:a handbook for visionaries,game changers,and challengersM.John Wiley&Sons,2010.40 Johnson M W,Lafey A G.Seizing the white space:Business model innovation for growth and renewalM.Harvard Business Press,2010.41 Afuah A,Tucci C L.Internet business models and strategies:Text and casesM.New York:McGraw-Hill,2003.42 DaSilva C M,Trkman P.Business model:What it is and what it is notJ.Long range planning,2014,47(6):379-389.43 程愚,孙建国.商业模式的理论模型:要素及其关系 J.中国工业经济,2013(01):141-153.DOI:10.19581/ki.ciejournal.2013.01.012.44 魏江,刘洋,应瑛.商业模式内涵与研究框架建构 J.科研管理,2012,33(05):107-114.DOI:10.19571/ki.1000-2995.2012.05.014.数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析5045 原磊.商业模式体系重构 J.中国工业经济,2007(06):70-79.DOI:10.19581/ki.ciejournal.2007.06.009.46 Wirtz B W,Pistoia A,Ullrich S,et al.Business models:Origin,development and future research perspectivesJ.Long range planning,2016,49(1):36-54.47 Magretta Joan.Why business models matter.J.Harvard business review,2002,80(5).48 Gassmann O,Frankenberger K,Csik M.Revolutionizing the business modelM/Management of the fuzzy front end of innovation.Springer,Cham,2014:89-97.49 Chesbrough H,Rosenbloom R S.The role of the business model in capturing value from innovation:evidence from Xerox Corporations technology spin-off companiesJ.Industrial and corporate change,2002,11(3):529-555.50 Osterwalder A,Pigneur Y,Tucci C L.Clarifying business models:Origins,present,and future of the conceptJ.Communications of the association for Information Systems,2005,16(1):1.51 乔为国.商业模式创新 M.上海:上海远东出版社,2009.52 陈明,余来文.商业模式 M.厦门:厦门大学出版社,2011.53 Morris M,Schindehutte M,Allen J.The entrepreneurs business model:toward a unified perspectiveJ.Journal of business research,2005,58(6):726-735.54 Casadesus-Masanell R,Ricart J E.From strategy to business models and onto tacticsJ.Long range planning,2010,43(2-3):195-215.55 李振勇.商业模式企业竞争的最高形态 M.北京:新华出版社,200656 夏云风.商业模式创新与战略转型 M.北京:新华出版社,2011.57 Scott M.Shafer et al.The power of business models J.Business Horizons(2005)48,199207.58 Johnson M W,Christensen C M,Kagermann H.Reinventing your business modelJ.Harvard business review,2008,86(12):57-68.59 Charles Baden-Fuller,Stefan Haefliger.Business Models and Technological Innovation J.Long Range Planning,2013,46:419-426.数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析5160 Maqali Dubosson-Torbay et al.E-Business Model Design,Classifcation,and Measurements J.Thunderbird International Business Review,vol.44,no.1,Jan.-Feb.2002,pp.5-23.61 Hamel,G.Lead the revolution M.MA:Harvard Business School Press,2000:156-198.62 Wirtz B W.Business Model Management:Design-Instrument-Success Factors M.Gabler,Wiesbaden,2011.63 Richardson J E.The business model:an integrative framework for strategy executionJ.Available at SSRN 932998,2005.64 Wirtz B W,Lihotzky N.Customer retention management in the B2C electronic businessJ.Long Range Planning,2003,36(6):517-532.65 The value shift:Why CFOs should lead the charge in the digital age,Deloitte66 陈俊芳,黄培.赢利定律 M.北京:中国标准出版社,2003.67 王波,彭亚利.重思商业模式 J.IT 经理世界,2002(06):86-87.68 陈玉锋.企业商业模式设计及创新研究 D.大连海事大学,2008.69 郑石明.商业模式变革 M.广州:广东经济出版社,2006.70 曾楚宏,朱仁宏,李孔岳.基于价值链理论的商业模式分类及其演化规律 J.财经科学,2008,(06):102-110.71 Allmendinger G,Lombreglia R.Four strategies for the age of smart servicesJ.Harvard business review,2005,83(10):131.72 Zott C,Amit R.The fit between product market strategy and business model:Implications for firm performanceJ.Strategic management journal,2008,29(1):1-26.73 Chatterjee S.Simple rules for designing business modelsJ.California management review,2013,55(2):97-124.74 Sanchez P,Ricart J E.Business model innovation and sources of value creation in low-income marketsJ.European management review,2010,7(3):138-154.75 Bellman R,Clark C E,Malcolm D G,et al.On the construction of a multi-stage,multi-person business gameJ.Operations Research,1957,5(4):469-503.数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析5276 Osterwalder A,Pigneur Y,Tucci C L.Clarifying business models:Origins,present,and future of the conceptJ.Communications of the association for Information Systems,2005,16(1):1.77 Casadesus-Masanell R,Ricart J E.From strategy to business models and onto tacticsJ.Long range planning,2010,43(2-3):195-215.78 DaSilva C M,Trkman P.Business model:What it is and what it is notJ.Long range planning,2014,47(6):379-389.79 Richardson J E.The business model:an integrative framework for strategy executionJ.Available at SSRN 932998,2005.80 Johnson M W,Christensen C M,Kagermann H.Reinventing your business modelJ.Harvard business review,2008,86(12):50-59.81 Gassmann O,Frankenberger K,Csik M.Revolutionizing the business modelJ.Management of the fuzzy front end of innovation,2014:89-97.82 Amit R,Zott C.Creating value through business model innovationJ.2012,2012,53.83 Foss N J,Saebi T.Business models and business model innovation:Between wicked and paradigmatic problemsJ.Long range planning,2018,51(1):9-21.84 Schlegelmilch B.,Diamantopoulos A.,Kreuz P.Strategic innovation:the construct,its drivers and its strategic outcomesJ.Journal of Strategic Marketing,2003,11(2):117-132.85 Markides C.Disruptive innovation:In need of better theoryJ.Journal of Production Innovation Management,2006,23(1):19-25.86 Lindgardt Z,Reeves M,Stalk,Jr G,et al.Business model innovation:When the game gets tough,change the gameJ.Own the future:50 ways to win from The Boston Consulting Group,2012:291-298.87 Mitchell,D.and C.Coles.The Ultimate Competitive Advantage of continuing Business Model InnovationJ.The journal of Business Strategy,2003(5):15-21.88 刘继承.数字化转型 2.0:数字经济时代传统企业的进化之路 M.北京,机械工业出版社,2021.89 Christensen C,Raynor M.The innovators solution:Creating and sustaining successful growthM.Harvard Business Review Press,2013.数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析5390 Hwang J,Christensen C M.Disruptive innovation in health care delivery:a framework for business-model innovationJ.Health affairs,2008,27(5):1329-1335.91 Wu X,Ma R,Shi Y.How do latecomer firms capture value from disruptive technologies?A secondary business-model innovation perspectiveJ.IEEE Transactions on Engineering Management,2010,57(1):51-62.92 de Almeida Pereira S,Imbrizi F G,de Freitas A D G,et al.Business model as an inducer of disruptive innovations:The case of Gol AirlinesJ.International Journal of Innovation,2015,3(2):28-42.93 Christensen,C.M.,Raynor,M.,and McDonald,R.What Is Disruptive Innovation?J.Harvard Business Review,2015,93(12),44-53.94 Addo-Quaye R,Fielt E.A literature review on the relationship between disruption and business model innovation:What choices do incumbents have?J.2019.95 Schiavi G S,Behr A.Emerging technologies and new business models:a review on disruptive business modelsJ.Innovation&Management Review,2018.96 Taran Y,Boer H,Lindgren P.A business model innovation typologyJ.Decision Sciences,2015,46(2):301-331.97 Foss N J,Saebi T.Fifteen years of research on business model innovation:How far have we come,and where should we go?J.Journal of management,2017,43(1):200-227.98 原磊.商业模式体系重构 J.中国工业经济,2007(6):70-79.99 Porter.Competitive Advantage:Creating and Sustaining Superior PerformanceM.New York:Free Press,1985.100 Shank J K,Shank J H,Govindarajan V,et al.Strategic Cost Management:the New Tool for Competitive Advantage M.New York:Free Press,1993.101 Lynda M,Applegate W,Earl Sasser and Kristin Kohler.Overview of E-Business Pricing ModelsM.Boston:Harvard Business School Press,2000.102 大卫波维特.价值网 M.北京:人民邮电出版社.2001.103 胡大立.基于价值网模型的企业竞争战略研究 J.北京:中国工业经济.2006(9):87-93.104 Scaringella L,Radziwon A.Innovation,entrepreneurial,knowledge,and business ecosystems:Old wine in new bottles?J.Technological Forecasting and Social Change,2018,136:59-87.数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析54105 Timmers P.Business models for electronic marketsJ.Electronic markets,1998,8(2):3-8.106 高闯,关鑫.企业商业模式创新的实现方式与演进机理一种基于价值链创新的理论解释 J.中国工业经济,2006,11:83-90.107 田庆锋,张银银,杨清.商业模式创新:理论研究进展与实证研究综述 J.管理现代化,2018,38(1):123-128.108 Christoph Zott,Raphael Amit.Business Model Design:An Activity System PerspectiveJ.Long Range Planning,2009,43(2).109 Amit R,Zott C.Value creation in e businessJ.Strategic management journal,2001,22(6-7):493-520.110 Hamel G.Leading the revolution.Boston,MA:Harvard Business School Press,2000.111 魏泽龙,宋茜,权一鸣开放学习与商业模式创新:竞争环境的调节作用 J.管理评论,2017,29(12):27-38.112 王雪冬,董大海.商业模式创新概念研究述评与展望 J.外国经济与管理,2013,35(11):29-36.113 Wirtz B W.and Daiser P.Business Model Innovation:An Integrative Conceptual FrameworkJ.Journal of Business Models,2017,5(1):14-34.114 Brews P.J.and Tucci C.L.Exploring the Structural Effects of InternetworkingJ.Strategic Management Journal,2004,25(5):429-451.115 Voelpel S.C.,Leibold M.and Tekie E.B.The wheel of business model reinvention.How to reshape your business model to leapfrog competitorsJ.Journal of Change Management,2004,4(3):259-276.116 Giesen E.,Riddleberger E.,Christner R.and Bell R.When and how to innovate your business modelJ.Strategy&Leadership,2010,38(4):17-26.117 Enkel E.and Mezger F.Imitation Processes and their Application for Business Model Innovation:An Explorative StudyJ.International Journal of Innovation Management,2013,17(1):1-34.118 Yang D.H.,You Y.Y.and Kwon H.J.A Framework for Business Model Innovation using Market,Component and Innovation ToolJ.International Journal of Applied Engineering Research,2014,9(21):9235-9248.119 Denicolai S.,Ramirez M.and Tidd J.Creating and capturing value from external knowledge:the moderating role of knowledge intensityJ.R&D Management,2014,44(3):48-264.120 Kastalli I.V.and van Looy B.Servitization.Disentangling the impact of service business model innovation on manufacturing frm performanceJ.Journal of Operations Management,2013,31(4):169-180.数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析55121 Hargadon A.How to discover and assess opportunities for business model innovationJ.Strategy&Leadership,2015,43(6):33-37.122 Bucherer E.,Eisert U.and Gassmann O.Towards systematic business model innovation:lessons from product innovation managementJ.Creativity and Innovation Management,2012,21(2):183-198.123 Carayannis E.G.,Sindakis S.and Walter C.Business model innovation as lever of organizational sustainabilityJ.The Journal of Technology Transfer,2015,40(1):85-104.124 Teece D.J.Business Models,Business Strategy and InnovationJ.Long Range Planning,2010,43(2/3):172-194.125 Mezger F.Toward a capability based conceptualization of business model innovation:insights from an explorative studyJ.R&D Management,2014,44(5):429-449.126 周文辉,王鹏程,杨苗.数字化赋能促进大规模定制技术创新 J.科学学研究,2018(8):1516-1523.127 Trischler M F G,Li-Ying J.Digital business model innovation:toward construct clarity and future research directionsJ.Review of Managerial Science,2022:1-30.128 曾鸣.智能商业 M.北京,中信出版社,2018.129 Vargo S L,Lusch R F.Service-dominant logic:continuing the evolutionJ.Journal of the Academy of marketing Science,2008,36(1):1-10.130 曹仰锋.第四次管理革命 M.北京,中信出版社,2019.131 Iansiti M,Levien R.Strategy as ecologyJ.Harvard business review,2004,82(3):68-78,126.132 Parida V,Sjdin D,Reim W.Reviewing literature on digitalization,business model innovation,and sustainable industry:Past achievements and future promisesJ.Sustainability,2019,11(2):391.133 Weill P,Woerner S L.Optimizing your digital business modelJ.MIT Sloan Management Review,2013,54(3):71.134 Cheah S,Wang S.Big data-driven business model innovation by traditional industries in the Chinese economyJ.Journal of Chinese Economic and Foreign Trade Studies,2017.135 Kohtamki M,Parida V,Oghazi P,et al.Digital servitization business models in ecosystems:A theory of the frmJ.Journal of Business Research,2019,104:380-392.数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析56136 Barney J.Firm resources and sustained competitive advantageJ.Journal of management,1991,17(1):99-120.137 Parker G G,Van Alstyne M W,Choudary S P.Platform revolution:How networked markets are transforming the economy and how to make them work for youM.WW Norton&Company,2016.138 Van Alstyne M W,Parker G G,Choudary S P.Pipelines,platforms,and the new rules of strategyJ.Harvard business review,2016,94(4):54-62.139 马蓝,王士勇,张剑勇.数字经济驱动企业商业模式创新的路径研究 J.技术经济与管理研究,2021,10:37-42.140 Tan B,Pan S L,Lu X,et al.The role of IS capabilities in the development of multi-sided platforms:The digital ecosystem strategy of AJ.Journal of the Association for Information systems,2015,16(4):2.141 McIntyre D P,Srinivasan A.Networks,platforms,and strategy:Emerging views and next stepsJ.Strategic management journal,2017,38(1):141-160.142 Adner R,Puranam P,Zhu F.What is different about digital strategy?From quantitative to qualitative changeJ.Strategy Science,2019,4(4):253-261.143 Kane G C.The American Red Cross:adding digital volunteers to Its ranksJ.MIT Sloan Management Review,2014,55(4):1.144 钱雨,孙新波.数字商业模式设计:企业数字化转型与商业模式创新案例研究 J.管理评论,2021,33(11):67.145 Mani Z,Chouk I.Consumer resistance to innovation in services:challenges and barriers in the internet of things eraJ.Journal of Product Innovation Management,2018,35(5):780-807.146 鲍舟波.未来已来数字化时代的商业模式创新 M.北京,中信出版社,2018.147 Stabell C B,Fjeldstad D.Confguring value for competitive advantage:on chains,shops,and networksJ.Strategic management journal,1998,19(5):413-437.148 Hagiu A.Two-sided platforms:Product variety and pricing structuresJ.Journal of Economics&Management Strategy,2009,18(4):1011-1043.149 邵蜻婷.数字化、智能化技术对企业价值链的重塑研究 J.经济纵横,2019(9):95-102.150 Amit R,Han X.Value creation through novel resource confgurations in a digitally enabled worldJ.Strategic Entrepreneurship Journal,2017,11(3):228-242.数字经济时代企业商业模式转型与风险管理系列研究(上篇)数字经济下的商业模式转型与风险管理背景分析57151 Li F.The digital transformation of business models in the creative industries:A holistic framework and emerging trendsJ.Technovation,2020,92:102012.152 张振刚,张君秋,叶宝升,等.企业数字化转型对商业模式创新的影响 J.科技进步与对策,2022,39(11):114-123.153 Autio E,Nambisan S,Thomas L D W,et al.Digital affordances,spatial affordances,and the genesis of entrepreneurial ecosystemsJ.Strategic Entrepreneurship Journal,2018,12(1):72-95.154 Porter M E.Industry structure and competitive strategy:Keys to profitabilityJ.Financial analysts journal,1980,36(4):30-41.155 Brandenburger A,Nalebuff B.Coopetition:kooperativ konkurrierenJ.Frankfurt am Main,1996.156 王琴.基于价值网络重构的企业商业模式创新 J.中国工业经济,2011(1):79-88.157 张新华,价值网视角下的数字出版商业模式创新研究 M.北京,知识产权出版社,2018.158 Moore J F.Predators and prey:a new ecology of competitionJ.Harvard business review,1993,71(3):75-86.159 Russo-Spena T,Tregua M,DAuria A,et al.A digital business model:an illustrated framework from the cultural heritage businessJ.International Journal of Entrepreneurial Behavior&Research,2022.160 Weill P,Woerner S L.Thriving in an increasingly digital ecosystemJ.MIT Sloan Management Review,2015,56(4):27.161 杨林,陆亮亮,刘娟.“互联网 ”情境下商业模式创新与企业跨界成长:模型构建及跨案例分析 J.科研管理,2021,42(8):43.162 Wirtz B W.and Daiser P.Business Model Innovation:An Integrative Conceptual FrameworkJ.Journal of Business Models,2017,5(1):14-34.联络 IMA 中国电话:4000 462 262邮箱:imachinaimanet.org网址:扫描二维码关注官方微信扫描二维码关注 CMA 订阅号扫描二维码关注官方微博扫描二维码关注官方抖音号扫描二维码关注 SF 小程序

    浏览量153人已浏览 发布时间2024-05-17 58页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • Akamai:2024潜伏在阴影之中-攻击趋势揭示了API威胁报告(34页).pdf

    潜伏在 阴影之中攻击趋势揭示了 API 威胁互联网现状/安全性第 10 卷,第 01 期目录2 为何监测能力很重要4 API:重要的攻击媒介 10 行业趋势突显出供应链攻击的危险性14 合规考虑因素16 亚太地区及日本概况20 欧洲、中东和非洲地区概况25 提升监测能力:企业 API 资产一年回顾29 保护 API 领域30 方法 31 附录33 致谢名单为何监测能力很重要今年是 Akamai 发布互联网现状(SOTI)报告并通过该报告来分享安全研究见解的第 10 年。多年来,随着企业运营方式和威胁形势的演变,这些报告的关注点也发生了变化。从 2024 年开始,我们不再将 Web 应用程序攻击和 API 攻击视为一个主题,而是使用新的数据集,以便 Akamai 研究人员可以将这两种类型的攻击分开研究。在本报告中,我们将关注以 API 为目标的 Web 攻击所占百分比(如需了解更多详细信息,请阅读“方法”部分)。这将有助于我们更好地了解攻击者对 API 进行攻击的方式,并制定行之有效的抵御策略。很多公司最近的一些变革都是基于 API,这些变革改善了员工和客户体验。但遗憾的是,数字化创新和 API 经济的迅猛发展也为网络犯罪分子提供了新的可乘之机。因此,监测能力是 API 安全中一个至关重要的方面。一旦影子 API 或恶意 API 等盲点得以揭示,安全团队就可以开始解决先前未察觉到的漏洞。在 2024 年的第一期 SOTI 报告中,我们将重点介绍以 API 为目标的各种攻击(包括传统 Web 攻击),并通过常见问题领域(例如,可通过数据进行监测的安全态势和运行时挑战)来应对 API 滥用带来的危险。此外,我们将按行业和区域说明这些危险,以便您更准确地评估您公司面临的风险。我们还会提供一些真实案例分析,强化合规要求,并说明法规趋势如何影响您的安全策略。在本报告结尾部分,我们将介绍有助您提升对 API 环境的监测能力的措施,以便增强您的整体安全态势。潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 22024 年|报告的关键见解 在 2023 年 1 月至 12 月这 12 个月期间,共有 29%的 Web 攻击以 API 为目标,这表明 API 是网络犯罪分子的重点攻击目标。对 API 的攻击包括开放式 Web 应用程序安全项目(OWASP)十大 API 安全风险清单以及 OWASP 十大 Web 应用程序安全风险中强调的风险,还有使用结构化查询语言注入(SQLi)和跨站点脚本攻击(XSS)等屡试不爽的方法来渗透其目标的攻击者所带来的风险。业务逻辑滥用成为一个严重问题,因为在缺乏 API 行为基线的情况下,识别异常的 API 活动变得尤为困难。企业若缺乏解决方案来监视 API 活动中的异常情况,将面临运行时攻击的风险。例如,数据抓取作为一种新兴的数据泄露媒介,可利用经身份验证的 API 从企业内部缓慢窃取数据。API 已成为当今大多数数字化转型的核心。因此必须了解行业趋势以及相关应用场景,例如会员欺诈、滥用、授权问题和盗刷攻击。企业在安全策略流程中应尽早考虑合规要求和新出台的法规,以避免未来可能需要重新设计策略。潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 32024 年|API:重要的攻击媒介 从设计角度来看,API 是数据管道。因此,一旦攻击者通过漏洞利用或针对业务逻辑的攻击等常用手段实现未经授权的访问,API 便可能将数据暴露给攻击者。2022 年,Gartner 预测 API 滥用和数据泄露到 2024 年几乎将会翻倍增长。时间如梭,现在的情况是备受瞩目的 API 事件比以往更加常见。开放式 Web 应用程序安全项目(OWASP)是以其十大安全风险清单而闻名的非营利组织。实际上,去年他们发布了一份专门关于 API 风险的单独清单,名为“OWASP 十大 API 安全风险”,以帮助企业辨识 API 所带来的特有威胁。Akamai 的研究发现,API 正在成为攻击目标,攻击手段不仅包括传统攻击方式,还有针对 API 设计的特定攻击技术,因而需要采取多种保护措施。实际上,我们发现,从 2023 年 1 月到 12 月,近 30%的网络攻击以 API 为目标(图 1)。除非企业能够正确地保护其 API 或摸清其环境中使用的所有 API,否则随着 API 使用需求的增加,这些攻击也很可能会继续增加。了解攻击面的完整范围首先从一份全面准确的 API 清单开始。月度网络攻击次数2023 年 1 月 1 日 2023 年 12 月 31 日图 1:针对 API 的网络攻击从 1 月份的 22%增长到 12 月份的 28%,2023 年 3 月至 5 月期间出现几次波动80 亿次240 亿次200 亿次120 亿次160 亿次40 亿次0 次攻击次数Web 应用程序目标API4 月3 月1 月2 月5 月6 月7 月8 月9 月10 月11 月12 月4潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 2024 年|此外,我们还在全球范围内观察到一些有意思的趋势,欧洲、中东和非洲地区(EMEA)地区遭受的以 API 为目标的 Web 攻击占比最高(47.5%),紧随其后的分别是北美地区(27.1%)和亚太及日本(APJ)地区(15%)。在国家/地区层面上,遭受此类攻击最多的区域分别是西班牙(94.8%)、葡萄牙(84.5%)、荷兰(71.9%)和以色列(67.1%)。值得一提的是,相比之下美国遭受的以 API 为目标的 Web 攻击仅占比 27.6%。区域攻击情况存在差异的原因有很多,例如监管环境、地缘政治冲突、基础架构类型、入学机会和教育差异、商业模式和社会因素等。但是,还必须注意的是,您可能会发现某个网络攻击趋势最初在一个地区或行业中出现,然后又会转移到其他地区或行业。因此,我们有必要跟踪更广泛的趋势。如需了解区域级趋势的更详细讨论内容,请阅读本报告中的“亚太地区及日本概况”和“欧洲、中东和非洲地区 概况”。API 成为攻击重灾区对攻击者攻击公司 API 的方式以及他们常用策略的研究阐明了您应当关注的防御区域。在过去 12 个月里,HTTP 协议(HTTP)、结构化查询语言注入(SQLi)和数据收集攻击是攻击者青睐的一些手段(图 2)。在 HTTP 攻击中,攻击者会将各种协议中的漏洞用于恶意用途,例如读取敏感数据和欺骗客户端或服务器等。另一种常用手段是活动会话,它与可疑攻击流量在会话期间会被标记和拦截的各种情况有关。对于数据收集,顾名思义,它与搜集或收集信息相关的攻击有关,攻击者可以将收集到的这些信息用在今后的其他攻击中。(如需查看攻击媒介定义的完整列表,请参阅本报告结尾部分的附录。)潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 52024 年|利用我们最新的数据集,我们能够监控针对 API 的更多攻击媒介。典型案例:服务器端请求伪造(SSRF)是我们在去年的 SOTI钻过安全漏洞中提到的新兴攻击媒介之一,可用于获取敏感信息或执行命令。不同媒介的 API 攻击占比2023 年 1 月 1 日 2023 年 12 月 31 日图 2:虽然本地文件包含(LFI)不是针对 API 的主要攻击媒介,但它仍然是一个值得关注的领域,因为它可能会被用于渗透预定目标。不过,深入了解针对 Web 应用程序和 API 的攻击分布情况后,可以发现 LFI 仍是主要攻击媒介之一 我们的研究结果还表明,爬虫程序请求是一个值得关注的领域。根据 Akamai 的数据,2023 年全球范围内几乎三分之一的可疑爬虫程序请求都以 API 为目标。虽然这些爬虫程序请求不一定都是恶意请求,但攻击者可以将它们用作攻击手段,执行可能会导致信息盗窃的撞库攻击和数据抓取。我们强调这些类型的攻击是想说明,除了 OWASP 十大 API 安全风险、针对访问的攻击、数据滥用/抓取以及配置错误之外,企业还需要跟踪许多直接攻击并让其渗透测试团队和红队进行检测。API 安全方面的真实经验教训 Akamai 与全球企业开展密切合作,收集与 API 使用相关的详细信息并执行高级行为分析,以识别安全漏洞和 API 滥用迹象。从 Akamai 对 API 活动的看法来说,我们通常会看到 API 活动存在两个截然不同的问题:态势问题和运行时问题。10E5 %0%5%0%数据收集SQLiHTTP活动会话LFIXSSSSRFCMDiRFIWATWPAAPI 攻击所占百分比25.0.1.8C.8%8.6%8.2%7.4%7.1%4.5%4.5%4.5%6潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 2024 年|1.态势问题与企业 API 实施中的缺陷有关。指示态势问题的告警可帮助安全团队识别并修复高优先级漏洞,提前避免攻击者利用这些漏洞。2.运行时问题是需要紧急回应的主动威胁或行为。虽然这些告警通常在本质上非常关键,但与其他类型的安全告警相比,它们更隐蔽,因为它们采用了 API 滥用的形式,而不是较为明确的基础架构入侵尝试。最常见的态势问题下面列出了我们观察到的最常见的态势问题,并简要概述了这些问题未得到解决时对企业的潜在影响。影子端点 影子端点是过时或旧版本的 API,它们未被停用或未进行文档记录。有时,它们指的是僵尸、恶意或旧版 API,会带来较高的利用风险,因为它们不受企业的标准安全控制措施和方法的约束。未经身份验证的资源访问 未经身份验证的资源访问是指用户或系统能够不提供任何形式的身份验证而访问 API 资源的情况,通常由 API 实施或配置中的缺陷所导致。虽然很多未经授权的资源通过隐匿被隐藏起来,但找到这些资源的攻击者可能会利用它们来访问敏感数据或应用程序功能。URL 中的敏感数据 在某些情况下,可能会在某个 API 请求的 URL 中观察到密码、身份验证令牌、信用卡详细信息以及个人身份信息(PII)等敏感数据。URL 中的数据往往存储在攻击者或许可以访问的位置(例如,存储在日志和缓存中),从而会产生敏感数据泄露和合规问题等重大风险。宽松的 CORS 策略 宽松的跨源资源共享(CORS)策略是指 API 允许超出必要范围的源(例如,协议、域和端口)发出访问请求。过于宽松的策略会让攻击者更容易从不受信任的来源访问敏感资源,以及更容易实施跨站脚本攻击(XSS)等攻击技术。潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 72024 年|客户端错误过多 当系统观察到失败的 API 资源请求数量异常高时,就会生成客户端错误过多告警。虽然很多客户端错误是配置错误和其他非恶意错误造成的,但客户端错误过多告警可能表示攻击者正在探测 API 实施以寻找漏洞。最常见的运行时问题对所观察到的运行时告警执行类似的分析时,我们发现了以下代表潜在主动威胁的常见 API 安全问题。未经身份验证的资源访问尝试 该衍生问题比上一节中所述的未经身份验证的资源访问态势告警更加紧迫。在此类问题中,我们发现攻击者未进行适当的身份验证就能够对敏感 API 资源进行明确的访问尝试。即使观察到的尝试未成功,这些情况也表明攻击者在主动尝试寻找并利用 API 漏洞。如果不进行及时干预,此尝试过程有可能最终取得成功。JSON 属性异常 使用异常 JSON 有效负载(例如,意外数据类型、异常大小或过于复杂)的 API 活动可能表示攻击者在主动尝试利用容易受到攻击的 API。此活动可能表示攻击者在尝试执行各种恶意操作,例如注入攻击、拒绝服务、数据外泄或利用 API 逻辑缺陷。路径参数模糊测试尝试 路径参数模糊测试是故意在 API 请求中发送意外或格式错误的数据的另一个示例,重点是 RESTful API 用于指定某些资源或操作的 URL 部分。它是攻击者用于进行侦察以发现潜在易受攻击 API 的另一种技术,可以通过数据外泄或服务中断尝试来攻击这些 API。不可能的时间旅行 在分析 API 活动时,会出现 API 调用的时间戳、地理位置或顺序不合逻辑的情况,这表明攻击者正在尝试通过某种方式来操纵 API。此外,此行为类型有可能表示存在多种可能的威胁,例如欺诈活动中包含的数据篡改。8潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 2024 年|数据抓取 数据抓取是指以不符合 API 的预期用途和服务条款的方式和数量从 API 中自动提取数据。攻击者往往会缓慢收集此类数据以避免被检测到,并以这种方式窃取知识产权、收集敏感客户数据或获得某种好处。当攻击者在 API 内悄悄进行数据收集时,虽然是少量缓慢的数据抓取,但却可能引发大规模的数据泄露攻击。最后,当您考虑态势和运行时问题时,不妨退一步看看 API 所面临的三种其他更常见的挑战,这可能对您会有所帮助:1.监测能力您是否采取了适当的流程和技术控制措施来确保自己的安全计划能够保护所有 API?这是一个关键问题,因为 API 通常是转型的一部分或嵌入到新产品中,因此许多 API 没有像传统网络业务那样的指导、保护和验证措施。2.漏洞您的 API 是否遵循最佳开发做法?您是否避免了 OWASP 中最常见的编码质量不佳问题?此外,您是否在跟踪和检查漏洞?3.业务逻辑滥用您是否有预期流量的基准?您是否确定了可疑活动的构成 要素?至关重要的是具备对您 API 的监测能力和进行调查的能力,以及能够建立相关流程来快速抵御威胁。不管是面向客户的 API,还是内部 API,都是如此。潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 92024 年|行业趋势突显出供应链攻击的危险性API 是企业数字化转型的核心。但是,API 的存在也导致企业面临的风险增加,并且带来了巨大的安全挑战。在报告期内,影响商业行业的企业的 Web 攻击中有 44.2%以 API 为目标,紧随其后的是商业服务行业的企业,相关占比为 31.8%(图 3)。攻击者更倾向于选择商业行业是由多种因素造成的,包括其生态系统的复杂性、对 API 的高度依赖性以及存在大量机密的客户信息。各垂直行业的 API 攻击占比2023 年 1 月 1 日 2023 年 12 月 31 日图 3:2023 年商业垂直行业和商业服务垂直行业遭受的 API 攻击占比最高。与欧洲、中东和非洲地区的金融服务业不同,美国的金融服务业尚未采用开放银行业务,因此遭受的攻击占比未进入前五名。应当注意的是,商业服务行业位列第二的原因在于供应链攻击带来的潜在危险。提供商业服务的第三方公司可能拥有与其附属企业相关的机密信息,甚至可以访问其环境,攻击者可能会将这些用作通向高价值目标的路径。对我们的数据进行仔细调查后发现,没有垂直行业能够免受 API 攻击。例如,医疗保健行业的医疗物联网(IoMT)的爆炸式增长和数据互操作性工作推动了 API 的使用。医疗保健行业正面临巨大风险,因为人们尚未完全了解 API 在该行业中产生的安全影响。各垂直行业的 API 攻击占比2023 年 1 月 1 日 2023 年 12 月 31 日35E%0 %0%5%视频媒体商业高科技博彩非营利/教育公共部门商业服务制药/医疗保健游戏金融服务其他数字媒体制造业社交媒体API 攻击所占百分比44.21.8&.4 .9.1.0.4%6.2%5.5%3.6%3.2%2.8%2.5%潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 102024 年|案例分析为了让您深入了解我们所看到的针对各行各业的攻击类型,我们提供了几个案例分析,包括这些攻击对企业和客户的真实影响。商业垂直行业的会员欺诈欺诈者以会员帐户为目标,因为这些帐户包含可以兑换为现实世界的商品或现金的高价值货币,例如积分、里程或额度。在某个 API 上,Akamai 检测到有用户访问了五个以上的会员帐户。进行调查时,我们确认了这些帐户中的这种行为是欺诈行为。大多数帐户仅由少量的授权用户访问,因此访问多个帐户的用户可能存在滥用行为。为了帮助减少欺诈,最好了解清楚正常行为与滥用行为之间的区别。SaaS 通知服务中的 API 滥用 Akamai Hunt 团队在属于某个金融服务公司的软件即服务(SaaS)通知系统中发现了 API 滥用问题。有效负载内缺少授权标头和签名,这会阻止该公司检查在系统中发出请求和发送通知的人员。因此,有权使用该 API 的任何人都可能滥用它向公司员工和客户发送消息。潜在的 BOLA 攻击我们的团队在某个航空公司中发现了潜在的失效对象级授权(BOLA)攻击,其中来自近 200 个 IP 地址的已验证用户模糊了 customer_id 路径参数,这会在所提供参数有效的情况下返回敏感的用户信息(图 4)。由于此 ID 是一个简单的整数,参数模糊非常容易,但会造成破坏性影响,因为这会导致客户信息泄露。目标 API 会返回敏感信息,例如名字、中间名、姓氏以及有效身份证、国籍、居住的国家/地区和出生日期。潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 112024 年|图 4:当攻击者尝试访问他们无权访问的资源来窃取敏感数据时,便会发生 BOLA 攻击堂而皇之地隐藏起来的盗刷攻击 在另一个案例中,最初是异常的 API 流量,结果却是盗刷攻击。最初,受影响的企业认为 API 流量激增是分布式拒绝服务(DDoS)活动造成的。但是,经过仔细检查后可以确定,该攻击试图验证信用卡,而客户系统会以 true 或 false(即,有效或无效)来作出响应。在盗刷攻击中,攻击者会验证被盗信用卡卡号。一旦验证成功,他们会在暗网市场中出售该信息,或者进行其他欺诈交易。为何必须了解 API 攻击在大多数 API 环境中,常见的业务问题为编程错误或配置错误,这些错误可在 API 安全计划成熟化过程的发现阶段检测到。虽然这些错误中的大多数从未遭到利用,但是在安全团队深入了解 API 资产及每个 API 上运行的流量后,潜在的损害显而易见。涉及 API 的应用程序和业务流程的启动和部署速度往往比安全团队进行相关态势评估的速度更快。这似乎会不可避免地导致配置错误和漏洞。除此之外,大多数企业内部缺乏 API 安全方面的专业知识,因此使得难解的安全问题变得更加扑朔迷离。GET/account/BOLA 攻击GET/account/AliceAlice 的帐户EveEve 的帐户GET/account/T E GAPI 的安全性出现问题的原因使用 API 的关键业务流程的快速部署缺乏对 API 的监测能力错误配置或易受攻击的 API =12潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 2024 年|防止数据泄露的最佳实践随着时间推移而遭到利用的未知 API 漏洞通常与编程错误密切相关。如今,涉及 API 的公开数据泄露事件已经司空见惯,这表明攻击者现在会探索 API 资产并进行侦察来识别要利用的特定 API。这种探索以及数据抓取带来的自动化威胁意味着 API 成为了新的数据泄露攻击媒介。如果攻击者成功实施此类攻击,所产生的后果包括品牌和声誉受损、机密数据丢失和客户信任丧失,以及可能会造成经济损失的合规问题和法规问题(具体取决于您所在的地区)。因此,API 安全比以往更重要。防范通过 API 漏洞进行数据泄露的第一个关键方面是,监控您的环境并了解什么是正常情况以及哪些 API 中包含哪些数据。这包括实施安全控制措施来约束所有 API,并实施自动响应以抵御攻击或向安全运营团队发出告警。接下来,在开发阶段进行左移测试可以从一开始就解决掉漏洞和薄弱环节,从而避免它们被攻击者利用。最后,您需要进行演练,对预防措施和危机应对措施进行验证。Kong 分析人员于 2023 年参与的一项研究表明,“API 攻击目前在美国造成的损失为 106 亿美元。到 2030 年,这一数字将飙升至每年 1980 亿 美元。”API 数据泄露的条件生产环境中错误配置或易受攻击的 API数据抓取自动化威胁(爬虫程序)持续数周或数个月的少量缓慢的数据泄露 =潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 132024 年|合规考虑因素从传统的企业安全和风险管理角度来看,保护 API 并阻断这些作为新攻击媒介的入口点势在必行。近期与安全和数据保护相关的法律和执法趋势发生了变化,这为解决 API 安全和监测能力问题提供了更多令人信服的理由。安全始终是全世界数据保护法律中的重要组成部分没有良好的安全保障便无法实现良好的隐私性。例如,欧盟通用数据保护条例(GDPR)第 32 条规定,处理 PII 的实体“应当采取适当的技术和组织措施来确保其安全水平足以应对相关风险”。加州隐私权法案(CPRA)等其他法律也包含了类似的规定,要求实施“合理的安全程序和做法”以及采取适当措施来保护 PII 的机密性、完整性和可 用性。监管和执法行动同样提高了透明度和问责制的标准。例如,美国证券交易委员会(SEC)近期颁布了针对上市公司的一些新规则,要求披露重大安全事件以及与风险、安全治理和监督相关的详细信息。放眼全球,未能保护 PII 的公司都会面临罚款处罚。例如,SEC 最近对 SolarWinds 的首席安全信息官提起了诉讼,指控其在已知的网络安全风险和漏洞方面存在欺诈行为并未能实施内部控制。该诉讼称,SolarWinds 及其首席安全信息官通过夸大该公司的网络安全实践并低估或未能披露已知风险来欺骗投资者。潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 142024 年|因此,虽然很少有专门针对 API 的法律或法规,但很多法律法规都提到了 API 或要求各公司必须遵守相关要求。例如,欧盟的修订支付服务指令(PSD2)和美国的21 世纪治愈法案都在推动实施医疗保健服务提供商使用 API 时必须遵守的透明度要求。所面临的挑战在于,涉及的数据既受到严格监管,又容易成为网络犯罪分子的目标。这促使美国国家标准协会(ANSI)、国际标准化组织和国际电工委员会等组织制定了相关指导原则(ISO/IEC 27001)。支付卡行业数据安全标准(PCI DSS)v4.0 等新法规也对 API 提出了相关要求。在技术方面,开放式 Web 应用程序安全项目(OWASP)是进行培训时的理想参考资源。结论:构建一个可以进行发现、监控、调查和修复的系统,您将能够满足合规要求。随着这些采取法律行动的趋势尝试提高网络安全计划的标准,透明度和问责制也必须继续向更高要求迈进。如果公司缺乏对 API 领域的监测能力,那么与此相关的风险以及安全态势中的相应漏洞可能会带来严重的法律和法规问题,因为您无法保护自己看不到的东西。如需详细了解亚太地区及日本(APJ)以及欧洲、中东和非洲地区(EMEA)地区的 API 攻击趋势,请参阅后续部分中的区域报告。潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 152024 年|亚太地区及日本概况亚太地区及日本概况是我们更全面的 API 安全性 SOTI 报告潜伏在阴影之中:攻击趋势揭示了 API 威胁(仅提供英文版)的姊妹篇。请阅读该报告,详细了解攻击者如何利用本期概况介绍中所描述的攻击媒介发起攻击,同时获取有关如何保障贵企业安全的建议以及对我们研究方法的深入说明和新的数据集。亚太地区及日本的 API 攻击值得关注 在利用专门跟踪 API 攻击流量的新数据集进行分析之后,Akamai 研究发现,亚太地区及日本(APJ)遭受的所有 Web 攻击中有 15.0%是针对 API 发起的。在全球范围内,亚太地区及日本(APJ)受到的 API 攻击占比位列第三,仅次于欧洲、中东和非洲地区(EMEA)地区的 47.5%和北美地区的 27.1%。在 2023 年 1 月至 12 月的报告期间内,每个月针对 API 发起的 Web 攻击数量在 11%至 21%之间波动(APJ 图 1)。这一攻击百分比之所以低于其他地区,也许可部分归因于亚太地区及日本的开放 API 市场规模相比欧洲和北美较小,因而企业对 API 的采用率也较低。亚太地区及日本:月度网络攻击次数2023 年 1 月 1 日 2023 年 12 月 31 日 APJ 图 1:即使整体 Web 攻击数据有所增加,以 API 为目标的攻击数量仍然达到 15.0%的平均占比 4 月3 月1 月2 月5 月6 月7 月8 月9 月10 月11 月12 月攻击次数Web 应用程序目标API5 亿次30 亿次20 亿次10 亿次15 亿次0 次25 亿次16攻击趋势揭示了 API 威胁:亚太地区及日本概况|第 10 卷,第 01 期 2024 年|在亚太地区及日本,以 API 为目标的 Web 攻击占比最高的国家/地区依次为韩国(47.9%)、印度尼西亚(39.6%)、中国香港特别行政区(38.7%)、马来西亚(26.4%)、日本(23.4%)、印度(19.0%)、澳大利亚(15.6%)、新加坡(5.8%)、菲律宾(5.5%)和新西兰(4.8%)。API 成为攻击重灾区:流量分析 正如我们之前报告中关于整体 Web 攻击的分析所述,LFI 仍然是亚太地区及日本面临的主要 API 攻击媒介。但是,跨站点脚本攻击(XSS)和结构化查询语言注入(SQLi)相较 API 攻击的排名有所下降(APJ 图 2)。亚太地区及日本:不同媒介的 API 攻击占比2023 年 1 月 1 日 2023 年 12 月 31 日APJ 图 2:LFI 仍然是一种主要攻击媒介,而我们的新数据集也揭示了其他颇受青睐的 API 攻击手段新的数据集能够帮助我们发现其他颇受青睐的 API 攻击媒介。例如,命令注入(CMDi)是一种很受欢迎的 API 攻击技术,而我们在 2023 年报告中讨论过的服务器端请求伪造(SSRF)现在也成为了最常用的攻击媒介之一。值得注意的是,活动会话会指出该会话期间的可疑行为,从而导致发生临时阻止。(如需查看攻击媒介定义的完整列表,请参阅全球报告结尾部分的附录。)我们的研究还表明,爬虫程序请求是一个值得关注的领域。在同样的 12 个月报告期内,超过 2 万亿次的可疑爬虫程序请求中有 40%以 API 作为攻击目标。亚太地区及日本:不同媒介的 API 攻击占比2023 年 1 月 1 日 2023 年 12 月 31 日5%0 .7%活动会话LFISSRFWATRFIXSSSQLiHTTP数据收集CMDiWPAAPI 攻击所占百分比16.8.8.4%9.1%8.5%8.2%7.9%4.5%2.8%8.5攻击趋势揭示了 API 威胁:亚太地区及日本概况|第 10 卷,第 01 期 2024 年|API 攻击遍布各行各业 在报告期内,Akamai 研究人员发现,制造业受到的以 API 为目标的整体 Web 攻击占比最高,达到 31.2%,随后依次是游戏行业(25.2%)、高科技行业(24.4%)、视频媒体行业(24.0%)和商业(22.3%)(APJ 图 3)。亚太地区及日本:各垂直行业的 API 攻击占比2023 年 1 月 1 日 2023 年 12 月 31 日APJ 图 3:制造业遭受的 API 攻击占比最高,部分原因在于这一关键基础设施行业通过 API 建立的连接越来越多,并且供应链中断的可能性也较高 153%9!$0%6%0%3%视频媒体制造业商业服务制药/医疗保健公共部门商业游戏金融服务社交媒体其他数字媒体高科技博彩非营利/教育API 攻击所占百分比31.2%.2$.4$.0.3!.9!.5.0%9.5%3.7%2.8%2.5%2.3攻击趋势揭示了 API 威胁:亚太地区及日本概况|第 10 卷,第 01 期 2024 年|亚太地区及日本概况的相关结论 从安全和风险管理的角度来看,API 的防护迫在眉睫。此外,除了现行的法律法规之外,新推进的改革也要求网络安全立法跟上威胁形势的变化步伐,这都使保护 API 变得势在必行。例如,印度正在起草数字印度法案,该法案将是对信息技术法案的一次重大修订,第一项举措就是于 2023 年 8 月通过了数字个人数据保护法案。澳大利亚于 2023 年 11 月 23 日发布了2023-2030 年澳大利亚网络安全战略,其中一个重点就是确保技术安全、增强对数字产品和软件的信任。此外,在即将发布的支付卡行业数据安全标准(PCI DSS)4.0 版的第 6 节中,特别包含了关于在系统和软件的开发及维护中使用 API 的标准,以降低违规风险。随着 API 越来越广泛地用于交换敏感财务信息,监管机构也正在制定相关举措和政策以加强 API 的网络安全标准。了解最佳实践和指导原则非常重要,这样您就可以将 API 纳入到自己的安全计划中,从而提高监测能力、加强防御措施并遵循合规要求。如需了解更多信息,请参阅全球 API 安全性 SOTI 报告潜伏在阴影之中:攻击趋势揭示了 API 威胁。攻击趋势揭示了 API 威胁:亚太地区及日本概况|第 10 卷,第 01 期 192024 年|欧洲、中东和非洲地区概况欧洲、中东和非洲地区概况是我们更全面的 API 安全性 SOTI 报告潜伏在阴影之中:攻击趋势揭示了 API 威胁(仅提供英文版)的姊妹篇。请阅读该报告,详细了解攻击者如何利用本期概况介绍中所描述的攻击媒介发起攻击,同时获取有关如何保障贵企业安全的建议以及对我们研究方法的深入说明和新的数据集。欧洲、中东和非洲地区盛行的 API 攻击在利用专门跟踪 API 攻击流量的新数据集进行分析之后,Akamai 研究发现,全球范围内欧洲、中东和非洲地区(EMEA)地区遭受的 API 攻击占比最高(47.5%),远高于排名第二的北美地区(27.1%)(欧洲、中东和非洲,图 1)。此数据基于每个地区的 Web 攻击总数,并表明欧洲、中东和非洲地区的 API 比其他地区面临更多危险。各地区的 API 攻击占比2023 年 1 月 1 日 2023 年 12 月 31 日欧洲、中东和非洲地区,图 1:欧洲、中东和非洲地区的 API 遭受的 Web 攻击显著高于任何其他地区20P0%0%欧洲、中东和非洲地区API 攻击所占百分比北美亚太地区及日本拉丁美洲8.6.0G.5.1 攻击趋势揭示了 API 威胁:欧洲、中东和非洲地区概况|第 10 卷,第 01 期 2024 年|欧洲、中东和非洲地区的攻击占比之所以相对较高(与其他地区的攻击占比进行比较时),也许一部分原因在于这个地区的开放 API 市场规模相比北美和亚太地区较大,这反映出此地区的 API 采用率更高,而另一部分原因在于开放银行业务和支付卡行业数据安全标准(PCI DSS)4.0 版,它们促进了 API 的使用并且会带来全球报告中所讨论的安全风险。在欧洲、中东和非洲地区,以 API 为目标的 Web 攻击占比最高的几个地区依次是西班牙(94.8%)、葡萄牙(84.5%)、荷兰(71.9%)和以色列(67.1%)。这并不是说这些国家的 Web 攻击总数比欧洲、中东和非洲地区的其他国家更高,而是说由于攻击者重点关注此攻击媒介,这些国家面临的 API 滥用风险更加集中。2023 年 1 月到 12 月的报告期内的月度趋势表明,以 API 为目标的 Web 攻击在欧洲、中东和非洲地区的增长相当稳定,从 1 月份的 34%增长到年底的 41%(欧洲、中东和非洲地区,图 2)。例外情况出现在 3 月和 4 月,当时 Akamai 研究人员发现 API 攻击数量激增,因为在 API 攻击集中度很高的西班牙,商业行业遭遇了大规模的集中攻击。此激增情况表明了攻击者在地区和行业之间转移注意力的速度有多快,因此值得跟踪更广泛的趋势。欧洲、中东和非洲地区:月度网络攻击次数2023 年 1 月 1 日 2023 年 12 月 31 日欧洲、中东和非洲地区,图 2:3 月和 4 月出现例外情况,当时的 API 攻击数量激增,而整个 2023 年 API 攻击数量呈现缓慢增长,到年底在全部攻击中的占比增长至 41 亿次70 亿次50 亿次30 亿次40 亿次10 亿次0 次4 月3 月1 月2 月5 月6 月7 月8 月9 月10 月11 月12 月60 亿次Web 应用程序目标API攻击次数21攻击趋势揭示了 API 威胁:欧洲、中东和非洲地区概况|第 10 卷,第 01 期 2024 年|API 攻击遍布各行各业 在报告期内,Akamai 研究人员发现,在影响企业的全部 Web 攻击中,商业行业遭受的 API 攻击占比最高(74.6%),超过了位居第二的高科技行业(35.5%)的两倍。紧随其后的分别是游戏行业(28.7%)、商务服务行业(24.5%)和其他数字媒体行业(19.7%)(欧洲、中东和非洲地区,图 3)。欧洲、中东和非洲地区:各垂直行业的 API 攻击占比2023 年 1 月 1 日 2023 年 12 月 31 日 欧洲、中东和非洲地区,图 3:商业垂直行业的 API 攻击占比最高,部分原因在于 其生态系统的复杂性、其对 API 的高度依赖性以及此行业中的企业拥有的高价值数据 60p0P %0%商业服务商业金融服务非营利/教育公共部门其他数字媒体高科技制药/医疗保健博彩视频媒体游戏社交媒体制造业API 攻击所占百分比74.65.5(.7$.5.7.4.7%5.6%3.8%1.7%1.3%1.2%0.6攻击趋势揭示了 API 威胁:欧洲、中东和非洲地区概况|第 10 卷,第 01 期 2024 年|API 成为攻击重灾区:流量分析 与全球趋势一致的是,过去 12 个月里,HTTP 协议(HTTP)和结构化查询语言注入(SQLi)已成为攻击者对欧洲、中东和非洲地区的 API 发动攻击的主要方式,而对于本地文件包含(LFI),虽然它仍然在 Web 应用程序攻击中占据主导地位,但在本列表中的排名进一步下降(欧洲、中东和非洲地区,图 4)。欧洲、中东和非洲地区:不同媒介的 API 攻击占比2023 年 1 月 1 日 2023 年 12 月 31 日欧洲、中东和非洲地区,图 4:HTTP、SQLi 和 XSS 是与 API 攻击相关度最高的三种攻击媒介;对于 API 攻击来说,LFI 不再是主要的攻击媒介,但攻击者仍然会在针对 Web 应用程序的攻击中积极使用该媒介在欧洲、中东和非洲地区,跨站点脚本攻击(XSS)仍然是攻击者青睐的一种技术,即便对于 API 攻击也是如此,并且命令注入(CMDi)也是主要攻击媒介之一。利用新数据集,我们能够监控 API 中的更多攻击媒介。例如,我们在 2023 年报告中讨论过的服务器端请求伪造(SSRF)是现在新出现的一种攻击媒介。(如需了解攻击媒介定义,请参阅全球报告结尾部分附录。)我们的研究还表明,爬虫程序请求是一个值得关注的领域。在同样的 12 个月报告期内,将近 4 万亿次的可疑爬虫程序请求中有 40%以 API 作为攻击目标。100% %5%0%CMDiXSSHTTPSQLiWPA活动会话WATSSRFLFI数据收集RFIAPI 攻击所占百分比14.5.5.2.2.3.2.1%9.3%9.0%7.2(.0%攻击趋势揭示了 API 威胁:欧洲、中东和非洲地区概况|第 10 卷,第 01 期 232024 年|欧洲、中东和非洲地区概况的相关结论从安全和风险管理的角度来看,API 的防护迫在眉睫。此外,除了现行的法律法规之外,新推进的改革也要求网络安全立法跟上威胁形势的变化步伐,这都使保护 API 变得势在必行。例如,欧盟的通用数据保护条例(GDPR)注重对个人数据的保护,而现在 API 在如何使用和共享此类数据方面处于重要位置。此外,新的网络和信息安全指令(NIS2)专门要求制定强有力的 API 安全计划。欧盟之外的国家/地区(例如,沙特阿拉伯)已出台类似于 GDPR 的数据保护法律,它们规定了处理个人数据的实体的相关义务。此外,在即将发布的支付卡行业数据安全标准(PCI DSS)4.0 版的第 6 节中,特别包含了关于在系统和软件的开发及维护中使用 API 的标准,以降低数据泄露风险。随着监管机构制定相关举措和政策以加强 API 的网络安全标准,必须了解最佳实践和指导原则,这样您就可以将 API 纳入到自己的安全计划中,从而加深了解、加强防御措施并遵循合规要求。如需了解更多信息,请参阅全球 API 安全性 SOTI 报告潜伏在阴影之中:攻击趋势揭示了 API 威胁。攻击趋势揭示了 API 威胁:欧洲、中东和非洲地区概况|第 10 卷,第 01 期 242024 年|提升监测能力:企业 API 资产一年回顾在本报告的开头,我们提到了缺乏对 API 的监测能力所带来的危险,并强调了企业通过安全告警获得的一些见解。在本部分中,我们将展示采用强有力的 API 安全计划如何让您实现不同层次的监测能力,包括:发现了解企业内部的 API 清单 风险审计了解发现的每个 API 的风险状况 行为检测了解正常使用与异常滥用的区别,以检查每个 API 上的主动 威胁 调查和威胁搜寻了解由专业人工威胁搜寻人员发现的潜伏在 API 资产内部的威胁这些监测能力层次不是 API 特有的,但我们发现,由于 API 的快速部署,很多 API 的网络安全完善程度都比不上更成熟的 IT 基础架构。问题是很多 API 都包含可以被利用的敏感数据。与我们合作的企业会对其 API 足迹应用更复杂的 API 安全实践,当这些企业更详细地了解其 API 活动并开始查看态势告警和运行时告警时,他们通常会遵循一种通用模式。1.通过监测能力找到 API“您无法保护自己看不到的东西”是一句古老的谚语,但它同样适用于现在的 API。对于很多提升其 API 活动监测能力的企业来说,最大的意外发现之一是自己的环境中竟然存在如此之多正在运行而未被发觉的影子端点。当恶意 API 或僵尸 API 被发现时,安全团队都会心怀感激之情,因为这让他们发现了隐藏的威胁。通常,API 安全完善之旅的第一步是系统性地发现这些影子 API,并确保每个此类 API 已停用或者进行了正式的文档记录,而且已纳入企业的 API 安全控制措施之中。这有助于直接降低意外 API 滥用的风险并减少其他威胁。通常,我们会在部署 API 安全工具时看到告警数量激增,但随着时间推移,会出现更多的非受管或未授权 API,于是我们便开始发现流程中的漏洞。25潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 2024 年|2.做到有条不紊解决影子 API 的问题后,在对经批准 API 的清单进行合理规划和整理方面仍然有工作要做。这包括按开发、测试和生产等宽泛类别进行细分,以及建立层次结构来确保安全告警和分析有适当的上下文,以便团队了解与 API 相关的风险。对每个 API 进行文档记录是提升监测能力过程的下一步。利用文档,安全团队可以更高效地应对态势告警,因为文档可以将告警带入上下文中,并使告警与他们对应用程序、API 和业务流程的思考方式保持一致。只有制定了活动程度的基准,才能轻松地判断哪些是可疑的活动。3.强化 API 态势企业收到的第一波态势和运行时告警往往会告知一组对其 API 实施的高优先级更改。例如,安全团队通常会查看其最常见的告警类型,并确定相关策略和优先级以降低风险。这包括更正 API 代码中的缺陷并解决配置错误问题,以及在吸取经验教训的基础上实施预防未来漏洞的流程。这将有助于划分渗透测试验证计划的优先顺序,并且可能会告知管理层必要的编码最佳实践,以避免今后出现漏洞。4.加强威胁检测和响应虽然前三个步骤通常会使 API 安全告警的总数呈现总体下降趋势,但随着时间推移,我们偶尔也会看到此数量出现激增。这些激增可能是内部驱动因素引起的,例如对业务模式的广泛更改、获得新功能,或者 API 足迹的增加带来新的漏洞或恶意系统。此外,激增也可能是外部因素引起的,包括攻击者进行的攻击尝试。高效的企业会针对这些激增制定计划,并在出现激增时采取明确的响应程序,将风险和告警数量降至正常水平。他们也会采取措施来持续缩短对主动 API 威胁进行响应、调查、限制以及从中恢复所需要的时间。这可能需要新的技能,具体取决于 API 环境。潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 262024 年|5.制定更强的防御策略随着企业增强其防御性 API 安全措施,下一个阶段是采取进攻性方法来实施 API 威胁发现和抵御,以完善防御性措施。这包括制定正式的 API 威胁搜寻准则和节奏,目的是在可能的威胁升级为被动情况之前尽早识别它们。这可能难以实现,因为它需要高度专业化的人才以及将资源与中断驱动型任务相隔离的能力。出于此原因,一些企业会聘请第三方服务提供商(包括 Akamai)来实现此重要功能。图 5 中的匿名示例说明了我们的一位企业客户因此所获得的好处。在 1 月和 2 月,由于该企业采取了一些措施来消除影子 API、开展整顿并对其 API 安全态势进行一些初步改进,威胁风险开始下降。在对 API 资产进行更改时,我们观察到态势告警偶尔会出现峰值。通过其 API 监测能力,该客户快速解决了可能的漏洞,没有让它们继续存在。告警数量2023 年 1 月 1 日 2023 年 12 月 31 日图 5:企业在拥有对 API 环境的监测能力后,API 资产的波动情况便会一目了然,而且告警数量也显著减少告警数量2023 年 1 月 1 日 2023 年 12 月 31 日态势告警随着影子 API 和新出现的 API 漏洞的消除,态势告警数量下降显著。告警1 月2 月3 月4 月5 月6 月7 月8 月9 月10 月11 月12 月随着 API 资产的变化,偶尔会出现态势告警峰值。借助强大的实时监测能力,峰值问题很快得到平息。随着主动威胁搜寻能力的提升,运行时告警呈下降趋势。运行时告警27潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 2024 年|运行时告警数量的可预测性较低,因为它是由外部因素驱动的。但是,也能观察到该数量普遍下降,因为该企业增强了其整体安全态势并提升了主动威胁搜寻能力。我们的结论是,保护 API 不只是 IT 团队的责任。这可能需要新的工具和技能,具体取决于数据敏感度所决定的潜在 API 风险暴露情况。随着新工具的部署,API 防御也成为了负责人需要关注的领域。他们应当针对该领域考虑技能组合和人员需要,并且在很多情况下应当考虑重新分配工程时间或转向托管服务。总体而言,需要跟踪和分析网络安全针对 API 提供支持的工作量,以找出效率低下的情况。潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 282024 年|保护 API 领域API 是众多公司正在构建的很多新功能的基础。但在大多数情况下,这些公司要么没有在规划过程中尽早考虑 API 安全,要么其 API 安全水平跟不上新技术的快速部署步伐。因此,在探讨如何制定有效的安全计划时,我们会引用我们很喜欢的网络安全专家灰胡子 Bruce Schneier 的一句话:“当危险来临时,你可能会猝不及防。所以,你唯一能做的就是及早检测和从容应对”。这一理念应当促使我们专注于培养更强的环境感知能力。我们应确保将所有 API 纳入我们的安全计划中,并确保我们主动对其进行攻击、漏洞和滥用监控。我们的渗透测试和红队应该测试身份验证和公开数据的态势,以及 JSON 属性和抓取等运行时问题。这些测试应构建为紫队演习,在这些演习中,安全信息和事件管理团队以及安全运营中心需要验证他们是否检测到攻击并且是否实施了最新流程来减轻相关影响。我们在本报告中回顾的案例分析(会员欺诈和盗刷攻击等)是用于测试计划的理想模板。我们应当使用与编码实践相关的 OWASP 指导来阻止常见攻击。这些主动控制措施以及围绕发现、强化、检测和响应制定有效流程的行动号召,都是制定季度行动计划的重要基础。我们还必须考虑合规问题。虽然现在 API 方面的法律/法规不多,但我们应当利用很多最佳实践和标准来确保我们正在采取正确的措施来保护自己的客户。GDPR 等现行法规包括与 API 相关的规定,PCI DSS v4.0 等新标准也提到了 API,并且 ANSI 等组织将发布相关指导原则。本报告的依据包括我们已抵御的威胁流量,以及我们从客户身上学习到的最佳实践。此外,在我们与客户进行沟通互动时,客户不断告诉我们安全控制措施在少数平台上的整合价值、灵活的人员解决方案对于满足转型目标的必要性,以及监测能力对决策和性能评估的重要意义。我们希望这份报告中的数据能够提供相关见解和可见性,帮助您更新自己的计划并开发最佳实践来保护您的客户。敬请访问我们的安全研究中心,随时了解我们的最新研究资讯。29潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 2024 年|方法 Web 应用程序和爬虫程序攻击 这些数据表示通过我们的 Web 应用程序防火墙(WAF)和爬虫程序管理工具观察到的流量的应用层告警数量。如果在针对受保护的网站、应用程序或 API 的访问请求中检测到恶意负载时,系统就会触发 Web 应用程序攻击告警。如果在针对受保护的网站、应用程序或 API 的访问请求中检测到爬虫程序负载,系统就会触发爬虫程序告警。恶意和良性爬虫程序都可能触发此类爬虫程序警报。警报并不表示攻击已经得手。虽然这些产品允许的定制程度极高,但我们在收集此处提供的数据时,所采用的方式并未考虑受保护资产的定制配置。这些数据来自一个内部工具,专用于分析在 Akamai Connected Cloud 上检测到的安全事件。Akamai Connected Cloud 是一个全球性网络,在 130 多个国家/地区拥有 4,000 多台边缘服务器。我们的安全团队使用这些数据(每月达到 PB 级)来研究攻击,标记恶意行为并将其他情报馈送到 Akamai 解决方案中。该报告中的数据涵盖了从 2023 年 1 月 1 日到 2023 年 12 月 31 日的 12 个月时 间段。2024 年数据更新 值此 10 周年庆之际,我们很高兴地宣布对数据集做出的一些更新!我们的 Web 应用程序和爬虫程序攻击数据集已经进行了数次升级。每种数据的收集方式都进行了革新、精简和优化。我们的见解在广度和深度上都得到了扩展。另外,我们还增加了其他攻击媒介(例如 SSRF)的分类。以 API 端点为目标的攻击识别也已加入到每个数据集。我们很高兴在本期报告中强调其中的部分新改进,并且期待在今年及以后继续分享这些更新,与读者一起庆祝互联网现状/安全性发展的这一里程碑。Akamai API Security 见解特别感谢 Akamai API Security 解决方案工程团队,他们在帮助了解 API 风险方面做出了具有现实意义的贡献,并且还有可能通过我们的 API Security 告警发挥重大影响。潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 302024 年|附录 攻击媒介定义活动会话已为客户端标记出攻击流量,并且重复请求将在会话持续期间被阻止命令注入(CMDi)攻击者在现有命令中注入新的项目,以修改解释并使其偏离预期,转向他们选择的行动跨站点脚本攻击(XSS)攻击者在内容中嵌入恶意脚本,以便在向 Web 浏览器提供内容时,使目标软件以用户的权限级别执行脚本数据收集攻击者利用攻击目标在设计或配置以及通信上存在的弱点,使其披露比预期更多的信息;此类攻击的目的通常是收集数据以准备实施另一种类型的攻击,但获取信息的访问权也有可能是攻击者的最终目标HTTP 协议(HTTP)攻击者利用客户端与服务器之间的通信协议中存在的弱点,企图执行非预期的操作;对不同协议类型的攻击可能存在不同的最终攻击目标本地文件包含(LFI)攻击者操纵对目标软件的输入,企图获取文件系统中原本不可访问的区域的访问权,或者可能试图对其进行修改31潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 2024 年|攻击媒介定义远程文件包含(RFI)攻击者加载并执行远程任意代码,随后劫持目标应用程序并迫使其执行自己的指令服务器端请求伪造(SSRF)攻击者滥用服务器的功能,企图读取或更新内部资源结构化查询语言注入(SQLi)攻击者伪造输入字符串,以便当目标软件打算基于用户输入构建 SQL 语句时,使生成的 SQL 语句执行攻击者想要的操作;成功的注入攻击可能会导致信息泄露,并且能够在数据库中添加或修改数据Web 攻击工具(WAT)攻击者主动探测目标,企图获取可能被用于实现恶意目标的信息;通过此类探测行为,攻击者能够从目标获得信息,帮助其针对目标的安全性、配置或潜在漏洞进行推断Web 平台攻击(WPA)以软件平台(云、Web 或应用层)为目标进行的攻击;此类攻击并未纳入其他的攻击组别当中32潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 2024 年|无论您在何处构建内容,以及将它们分发到何处,Akamai 都能在您创建的一切内容和体验中融入安全屏障,从而保护您的客户体验、员工、系统和数据。我们的平台能够监测全球威胁,这使得我们可以灵活调整和增强您的安全格局,让您可以实现 Zero Trust、阻止勒索软件、保护应用程序和 API 或抵御 DDoS 攻击,进而信心十足地持续创新、发展和转型。如需详细了解 Akamai 的云计算、安全和内容交付解决方案,请访问 和 年 3 月。致谢名单编辑与创作Badette Tribbey总编辑Charlotte Pelliccia主笔人(地区)编辑人员James Casey Edward Roberts Steve Winterfeld审稿和主题撰稿Tom Emmons Reuben Koh Rob Lester Richard Meeus Abigail Ojeda Menachem Perlman Yariv Shivek数据分析Chelsea Tuttle营销与发布Georgina Morales Hampe Emily Spinks进一步阅读互联网现状/安全性报告互联网现状/安全性报告由 Akamai 精心呈献,获得了各界的广泛赞誉。请前往以下网址回顾往期报告,并关注即将发布的新报告: Akamai 威胁研究请前往以下网址,了解最新的威胁情报分析、安全报告和网络安全研究的动态: Akamai 徽标。 Akamai 解决方案如需详细了解 Akamai 针对 API 攻击推出的解决方案,请访问我们的“应用程序和 API 安全”页面。扫码关注获取最新CDN前沿资讯潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 332024 年|

    浏览量30人已浏览 发布时间2024-05-17 34页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • Splunk:2024年安全现状报告:驾驭 AI 的竞赛(38页).pdf

    2024 年安全现状报告驯服 AI 的竞赛2024 年安全现状报告|Splunk作为一名从业 20 多年的安全专家和领导者,我见证了这个行业的多次发展。但这次不同。随着生成式 AI 的兴起,网络安全正在成为一个充满机遇和风险的全新领域。在 Splunk 的 2024 年安全现状报告中,我们发现许多 CISO(首席信息安全官)和从业者正在一往无前地探索这条道路。但考虑到新的合规法规及其对 CISO 问责制的影响,他们也不确定未来将面对怎样的情形。在今天的网络环境中,我们希望安全专业人员探索生成式 AI 如何为其韧性构建过程提供支持,同时,声称采用这一技术手段的受访者比例高达惊人的 93%,这说明,许多受访者已经将其视为创新的关键点。他们正在使用生成式 AI 来构建更好的网络防御机制,执行更明智的决策,并填补关键技术的空白。与此同时,至少三分之一的受访者没有制定生成式 AI 策略。他们表达的最大的担忧是什么?各种基于 AI 技术的攻击。与此同时,美国出台了更加严格的事件报告规则。美国证券交易委员会(SEC)和欧盟的 NIS2 正在要求 CISO 群体承担更大的责任。但我们相信,安全专业人员也会发现新的机遇,以便重塑他们的角色和团队。对于广大 CISO 来说,这意味着在董事会中确定优先事项,而对于安全从业者来说,这需要与 ITOps、工程和云团队进行更紧密的合作,以扩大可见性,实现响应时间的最小化,并实现更大的韧性。安全专业人员继续开辟这条新道路的同时,在 Splunk,我们对生成式 AI 可为防御人员提供的潜力感到兴奋,并为安全优先事项成为业务优先事项的速度深受鼓舞。Jason LeeSplunk 首席信息安全官32024 年安全现状报告|Splunk2024 年安全现状报告有些矛盾。尽管安全专业人员的道路困难重重,比如说严格的合规要求、不断升级的地缘政治紧张局势和更复杂的威胁环境,但整个行业还是在取得进展。许多组织表示,与前几年相比,网络安全变得更容易管理。组织之间的协作更多,威胁检测的速度更快,而且大多数组织都具备解决所面临问题所需的能力和资源。但完全胜利仍然难以实现,因为防御人员试图在驯服生成式 AI 的竞赛中超越对手。安全团队担心生成式 AI 会加剧他们多年来通过各种技术手段挫败的攻击的影响,这是可以理解的。我们认为防御人员能够胜任这项任务。生成式 AI 对网络安全的全部影响可能是未知的,但有一种情况我们是确定的:这种竞赛已经开始。不断变化的创新之路目录3 不断变化的创新之路6加入 AI 热潮14 领先组织的构造块18 威胁环境评估23 不断攀升的合规压力27 奋进31 行业数据34 典型国家/地区42024 年安全现状报告|Splunk网络安全逐渐变得越来越容易作为一名防御人员意味着你很少看到自己的劳动成果。人们很自然地会思考:这些方法有用吗?在满足网络安全需求方面,受访者的观点几乎平分秋色:41%的受访者认为这方面的工作变得更容易了,46%的受访者则认为更难了。但总体趋势仍充满希望。自 Splunk 发布 2022 年安全现状报告以来,网络安全管理变得越来越容易。考虑到环境的复杂性和攻击的复杂性,这种看法可能会令人惊讶。但对于拥有完善安全管理机制和流程的组织来说,依靠久经考验的攻击策略,可能更容易领先于威胁行为者。合作可能是网络安全变得越来越容易的原因之一:87%的受访者表示,与一年前相比,他们与其他团队的合作更加紧密。四分之三(75%)的受访者表示,今年将更多地与 IT 运维部门开展合作。此外,54%的受访者正在加深与软件工程部门的合作如果在设计和代码开发阶段早期就开始考虑安全问题,解决漏洞问题就会变得更加易于管理。组织检测威胁的速度也在加快。55%的受访者估计他们检测造成中断的事件的平均检测时间(MTTD)为 14 天或更短。这标志着,与去年相比,这方面已经有了显著的提升,当时只有 28%的受访者估计在同一时间段内检测到此类事件。但与攻击者访问系统所需的时间相比,这一时间仍然过长。在过去两年中,满足网络安全要求更加困难没有更加困难更容易2024 年2022 年2023 年174AfSF%说明:52024 年安全现状报告|Splunk但战斗还没有结束在认为网络安全工作越来越困难的受访者中,38%的受访者认为威胁环境的复杂性是导致这一情况的原因。地缘政治紧张局势和网络战争正在升级。物联网、AI 和多云环境正在以指数方式增加数据量。因此,仍在努力实施基本网络安全管理机制的组织将难以确保更多的资产和端点。他们也将更难防止简单的人为错误,如配置错误,这是今年的头号威胁向量。更加严格的合规性要求也会增加风险,特别是对于现阶段个人需要为组织的违规行为承担责任的安全主管。28%的受访者认为遵守相关法规会让工作变得更加困难。新出台的政府条令只会让工作压力更大。与前几年类似,27%的安全团队难以在解决各种突发状况的同时投入足够的时间来提高网络安全,这表明缺乏长期战略和投入。连串的安全警报也会让局面难以为继26%的受访者认为警报数量过多,应对起来比较麻烦。对 AI 的呼声高于云今年进行的调查中最值得注意的发现之一是,对 AI 的宣传与实际情况相符。近一半(44%)的受访者将 AI 列为 2024 年三大主要举措之一,这一比例超过了云安全。虽然安全团队认识到 AI 的许多好处,但不受法律和政策阻碍的威胁行为者也意识到了这一点。当被问及AI 会让天平偏向防御人员还是对手时,受访者的态度几乎各占一半:45%的受访者预测对手将受益最大,43%的受访者认为防御人员将受益最大。生成式 AI 的迅速崛起激发了 人们对未来的无限遐想,但同样也提出了我们实际将面临何种情形的严重问题。这对 SOC 将意味着什么?组织是否会引入政策来鼓励安全和有效的使用?他们如何在不妨碍创新的情况下执行这些政策?答案正在逐渐明朗。2024 年主流安全措施AI云安全安全分析445 b024 年安全现状报告|Splunk加入 AI 热潮在加利福尼亚淘金热潮期间,成千上万怀揣发财梦的淘金者向西部迁移。同样,在今天的生成式 AI 热潮中,我们看到人们以极快的速度寻找机会,进入一个充满无限可能和危险风险的未知前沿领域。每个人都想找到主矿脉,享受先发优势。这是可能的只是需要一点一点地去挖掘。生成式 AI 的采用速度超过了制定政策的速度业务部门的采用率为 93%安全团队的采用率为 914%的受访者缺乏完整的生成式 AI 策略934%生成式 AI 的前景和可能性生成式 AI 已经成为主流,许多组织正在积极实施这种方案,进而实现业务转型。从在电子商务中提供个性化客户推荐服务,到绘制人类大脑图谱,再到模仿伦勃朗的笔触,生成式 AI 几乎在每个行业都有各种各样的用例。这些不仅仅是猜测。93%的受访者表示,业务线终端用户依赖公共生成式 AI 工具来帮助他们完成工作。这会为安全团队提供更多的工作机会,他们需要确保业务免受数据泄漏等生成式 AI 相关漏洞的影响。即使对其怀疑态度最为坚决的安全专业人士,面对大家对生成式 AI 的乐观态度也会动摇自己的想法。安全团队的采用率几乎与企业的整体采用水平一样高,91%的受访者都在使用公共生成式 AI。更重要的是,他们对生成式 AI 取得的成功持一种支持的态度,46%的受访者表示,生成式AI将为他们的安全团队“改变游戏规则”。驾驭生成式 AI 的竞赛异常激烈,50%的受访者表示,他们的组织正在制定将生成式AI 用于网络安全的正式计划,但该计划尚未完成或在内部达成一致。如果处理得当,安全和创新可以齐头并进。与此同时,我们还想了解来自企业或董事会的压力(或者只是很害怕错过这一热潮而落后)是否正在推动安全团队采用生成式AI。就在两年前,询问组织有多少最终用户正在使用公共生成式 AI 工具几乎是荒谬的,但今天生成式 AI 在业务中的地位举足轻重。Splunk 欧洲、中东和非洲首席技术官,战略顾问 Kirsty Paine”82024 年安全现状报告|Splunk生成式 AI 策略是一个未知领域“快速行动,打破常规”可能听起来违反大多数安全从业者的直觉,但当组织寻求快速创新时,这可能是一种正确的理念。虽然安全团队很少拒绝制定策略的机会,但 34%的组织没有制定生成型 AI 政策,尽管这一技术手段的采用率很高。Splunk SURGe 首席安全策略师 Shannon Davis 表示:“对生成式 AI 的限制过于严格的公司不仅有可能落后于竞争对手,还很容易让自己受到大力推崇这些工具的威胁行为者的攻击。”我们从云计算或物联网技术的应用中吸取的教训告诉我们,缺乏流程和规划可能会给安全团队带来困扰。企业操之过急,盲目跟风的做法导致了不良后果,例如个人信用卡支付的不合规的云服务,或充满软件漏洞的不安全的物联网设备。安全团队必须在创新速度与深思熟虑和可持续的过程之间权衡利弊。强有力的策略源自对一项技术真正意义的深入理解,然而 65%的受访者坦言,他们缺乏关于生成式 AI 的培训。但对组织中的其他人员进行生成式 AI 的相关培训应该不是网络安全团队的唯一负担。“组织应该成立一个跨部门的治理委员会,以一个负责任的 AI 的全面框架来监督 AI 的开发和采用,”Splunk AI 事业部副总裁 Hao Yang 如是说。生成式 AI 的影响是广泛的,因此要搞清楚它,我们需要从多个视角和特殊领域出发。例如,Splunk 的 AI 委员会横跨多个业务部门,包括产品和技术、法务、隐私、安全、人力资源、市场和营销。当然,深思熟虑的安全策略并不一定能转化为万无一失的预防措施,但它们可以大大减少数据泄漏和其他新的漏洞。生成式 AI 必须接受法律监管虽然就目前而言,就像内部监管一样,生成式 AI 的前沿领域仍然相对不受任何可执行法律的控制和监管。但 AI 合规的要求正在开始成形。例如,欧盟的 AI 法案旨在引入基于风险类别的共同监管框架。2023 年,欧洲议会修订了其最初的建议,将生成式 AI 纳入其中,要求其必须符合一定的透明度要求。这些要求包括在数据库中注册基础模型,以及制定和保留技术文档。在美国,拜登政府的 AI 权利法案建议,在与自动化系统通信时,应向用户进行通知,并允许选择退出并与真人互动。这些指导方针可能预示着政府未来的行动。即将出现的政府严格监管的局面可能是 45%的受访者将更好地符合合规要求列为仅次于数据泄露的首要改进方面的原因。要针对这一趋势提前做好应对,就需要重新关注内部合规控制。组织应该成立一个跨部门的治理委员会,以一个负责任的 AI 的全面框架来监督 AI 的开发和采用。Splunk AI 事业部副总裁 Hao Yang”2024 年安全现状报告|Splunk它们会相互抵消防御人员将受益最多 对手受益最大生成式 AI:是敌还是友?生成式 AI 对谁更有优势?受访者各有高见。102024 年安全现状报告|Splunk生成式 AI 用例在实际工作中的表现如何 识别风险 生成式AI 可以通过快速聚合不同的数据集来增强基于风险的警报,进而为安全分析师提供富有语境的警报。大型语言模型(LLM)有助于以远远超出人类能力的速度和效率传递这些信息。识别风险威胁情报分析威胁检测/优先处理安全数据汇总39954%主流生成式 AI 网络安全用例威胁情报分析 LLM 可以确定威胁情报报告中描述的漏洞和 MITRE ATT&CK 技术指标。情报团队可以通过该功能从大量繁重的工作中解脱出来,并能够更快地进行更深入的分析。威胁检测和优先处理 对警报进行优先排序和分类是特别容易受到分析师错误分类、疲劳和人为错误影响的任务。生成式 AI 可以同时处理多个威胁,同时提高准确性。对安全数据进行汇总 生成式AI 可以快速、全面、准确地进行总结,帮助安全团队节省时间并跟上新闻和信息的节奏,例如拜登关于改善美国网络安全的行政命令。生成式 AI 作为保证安全的得力助手人们对生成式 AI 的认识正在快速发展。就在 8 个月前,在我们的 CISO 报告中,只有 17%的受访者认为生成式 AI 将对防御人员有所帮助。现在,几乎一半(43%)的受访者持有相同的看法。越来越多的供应商正在将生成式 AI 纳入他们的产品中,反映这一手段在安全工作流程中的使用,而防御人员也开始看到这种可能性。虽然新出现的生成式 AI 攻击和 AI 中毒的可能性仍然存在,但这些威胁还没有变得普遍。防御人员似乎持有一种乐观的态度,并一致认为生成式 AI 很适合若干网络安全用例,并将威胁情报分析和风险识别视为主要的两个应用场景。112024 年安全现状报告|Splunk解决网络安全技能短缺问题技能熟练的专业人员是任何 SOC 的核心,许多组织仍在应对人才短缺的问题。生成式 AI 可以为解决这一切实的需求提供一些喘息的机会。86%的组织认为,生成式 AI 将帮助他们聘请更多入门级网络安全人才,58%的组织表示,它将帮助他们更快地聘用入门级人才。90%的受访者表示,入门级员工入职后,可以依靠生成式 AI 来帮助自己提升 SOC 技能这可能包括编写 Python 脚本或启动测试环境等基本任务。经验丰富的安全专业人员也可以通过生成式 AI 让自己的工作事半功倍。65%的受访者认为这项技术手段会让使他们的工作更高效,让有经验的从业人员更容易合成各种新闻和信息,并加速研究和检测工程进度。虽然对 AI 取代自己工作的担忧并非完全没有根据大约一半(49%)的受访者表示,生成式 AI 将让一些现有的安全工作岗位消失但它更有可能帮助组织培训新的人才,防止员工出现倦怠情绪。它还可以重新划分网络安全人员的就业格局,因为它可以引入提示工程这样的新工作岗位。的受访者认为它可以帮助组织雇佣更多入门级人才 的受访者认为它将让经验丰富的安全专家更高效86e%生成式 AI 如何缩小技能差距122024 年安全现状报告|Splunk生成式 AI 沦为攻击者的工具安全团队也有理由担心,生成式 AI 会成为对手武器库中的另一个工具。45%的受访者认为,网络攻击者将凭借生成式 AI 在双方的角逐中大获全胜,77%的受访者认为它会将攻击面扩大到令人担忧的程度。同样的攻击,已经不可同日而语生成式 AI 会为全球带来怎样的独特威胁?人们面临的一种可能的情况是,生成式 AI 不会产生立竿见影的奇特效果,而是会放大安全团队已经面临的各种威胁。32%的受访者最担心攻击者使用生成式 AI来优化现有攻击,例如制作更真实的钓鱼邮件或改进恶意脚本。技术较差的机会主义黑客将对生成式AI 加以利用,从而推动社会工程攻击的情况显著增加。28%的受访者担心生成式 AI 还会帮助对手增加现有攻击的数量。内部敌人并非所有 AI 威胁都来自外部;77%的受访者赞同这一观点,即随着生成式 AI 的使用日益增加,我们将面临更多数据泄露的情况。但只有 49%的受访者正在积极采取措施,优先考虑数据泄漏的问题这可能是因为目前还没有很多解决方案来控制进出生成式 AI 工具的数据流。缺乏关于生成式 AI 的培训会加剧这些担忧。如果有 65%的安全管理人员承认,他们不完全理解生成式 AI,我们就可以合理地猜测,非安全角色的人员更是丈二和尚摸不着头脑。如果没有适当的培训,最终用户肯定会犯一些错误,比如将敏感的公司数据导入LLM,而这会让安全团队成为众矢之的。威胁行为者对生成式 AI 的主要用途 让现有攻击更加有效 构建新的攻击类型 侦查 让现有攻击数量增加32#(%这就好像一个问题:您想对抗 1 只马一样大的鸭子,还是 100 只鸭子一样大的马?专注于单个威胁可能更容易管理,但生成式 AI 将产生没有那么明显的情况,作为现有攻击的增力因素。Splunk 欧洲、中东和非洲首席技术官,战略顾问 Kirsty Paine”的受访者表示,机器学习的经验将影响他们未来对生成式 AI 的处理方法932024 年安全现状报告|Splunk生成式 AI 未来展望生成式 AI 将何去何从?没有人能预知未来,但安全团队对传统形式的 AI(如机器学习(ML))加以利用已经有一段时间,93%的受访者表示这些经验将对他们未来的生成式 AI 方案产生影响。许多组织已经尝到了 ML 工具带来的生产效率提升的甜头,其中 92%的组织获得了实质性的好处。但这项技术并不完美,我们需要特别注意:73%的受访者表示,具有传统 AI 和ML 功能的工具可能会产生误报,91%的受访者表示这些工具需要调整。同样,我们需要对生成式 AI 进行监督,以发现和防止可能破坏其价值的错误认知。那些已经用传统 AI 和机器学习建立了坚实基础的先驱们可能会发现自己正处于生成式 AI 采用过程的快车道上。142024 年安全现状报告|Splunk领先组织的构造块在防御威胁的竞赛中,一些组织遵循卓越中心模式建立成熟的网络安全实践方案。2024 年,47%的受访者认为他们的安全方案“非常先进”。我们正在将这一群组归类为领先组织,并会对他们的特有特征和在调查中的回答与那些将他们的方案标记为“正在制定”的群组进行比较。152024 年安全现状报告|Splunk首先,领先组织对自己应对威胁环境的能力充满信心。49%的领先组织表示,管理网络安全要求变得越来越容易,而对于正在制定方案的组织,只有29%的受访者表示有同样的想法。领先组织在其他几个方面的表现也优于那些正在制定方案的组织,描绘了一幅可能被认为是黄金标准的做法的画面。适当地提供资源和授权领先组织不是天生就可以领先;这是它们努力的结果。他们的成功方法可以反映与董事会和业务利益相关者的深度联系、跨部门合作和稳定的投入。领先的安全团队预算积极主动67%的受访者会在未来一到两年内显著增加网络安全支出,而正在制定方案的受访者中,这一比例仅为28%。与企业的密切联系也会为领先组织带来回报。令人印象深刻的是,95%的受访者表示他们有资源和权力来应对挑战,这反映了我们在 CISO 报告中的发现,47%的 CISO现在直接向 CEO 报告。展开合作并认识韧性的重要性与企业建立联系不仅仅需要CEO的倾听,还需要整个企业的合作。领先组织会与这些技术部门进行更多的合作:合作的部门领先组织正在制定方案的组织软件工程56F%工程运维511%IT 运营76g%合作还会延伸到合规领域。49%的领先组织强烈认为,安全团队中的每个人都将合规作为他们工作的一部分,相比之下,正在制定安全方案的组织中只有 27%的受访者持这种观点。领先组织意识到,在数字韧性方面存在很多风险。他们更强烈地认为,更强的数字韧性可以带来更多的创新(41%),更少的业务中断(39%),还可以规避合规惩罚(39%)可能是因为它们与业务成果更紧密地联系在一起。没有高管的支持,实现网络安全的成熟是一场失败的战斗。Splunk CISO Jason Lee”162024 年安全现状报告|Splunk通过生成式 AI 进行更多创新领先组织也更有可能通过 AI 进行创新,48%的受访者将其视为最重要的举措,相比之下,不太成熟的组织中,只有 30%的组织将其视为最重要的举措。生成式 AI 在他们的安全团队中的采用率也更多、更广泛75%的领先组织表示,大多数安全团队成员都在使用生成式 AI,而对于正在制定方案的组织,只有 23%的组织有相同的说法。与正在制定方案的组织相比,领先组织中生成式 AI 的使用似乎实验性更低,更有条理:82%的领先组织已经建立生成式 AI 安全政策,而在正在制定方案的组织中,只有 46%的组织采取了相同的做法。55%的领先组织有将生成式 AI 用于网络安全用例的正式计划,而正在制定方案的组织中,只有 15%的组织这样说。更快的事件检测和响应速度网络成熟度高并不意味着网络攻击少。但领先组织比其他同类组织的检测和响应速度更快,这样就可以减轻攻击力度及其后果。领先组织指出,对于导致中断的事件,平均检测时间(MTTD)为 21 天,而正在制定方案的组织平均会花费一个月以上的时间(34 天)来检测其网络中的威胁。领先组织在恢复模式上花费的时间也少得多。他们的业务关键型工作负载的平均恢复时间(MTTR)略大于44 小时,而正在制定方案的组织平均恢复时间则需要5.7 天。“缩短检测和响应时间的能力直接说明安全方案的成熟度。这就是为什么 MTTR 和 MTTD 对董事会和高管来说是如此重要的指标。他们希望看到长期可衡量的成功,”Splunk SURGe 安全研究团队的全球安全顾问 Mick Baccio这样说道。缩短检测和响应时间的能力直接说明安全方案的成熟度。这就是为什么 MTTR 和 MTTD 对董事会和高管来说是如此重要的指标。他们希望看到长期可衡量的成功。Splunk 全球安全顾问 Mick Baccio”172024 年安全现状报告|Splunk领先组织的构造块适当地提供资源和授权67(y%将在未来一到两年内大幅增加网络安全支出:表示他们有资源和权力来应对挑战:展开合作并认识韧性的重要性通过生成式 AI 进行更多创新511vg%去年与工程部门加强了合作:去年与 IT 运维部门加强了合作:82Fu#%已经制定生成式 AI 安全政策:表示大多数安全团队成员都在使用生成式 AI:更快的事件检测和响应速度21 天造成中断的事件的 MTTD:34 天1.8 天5.7 天业务关键型工作负载的 MTTR:方案非常先进的组织正在制定方案的组织那些将自己的网络安全方案描述为极其先进的组织,在四个关键维度上始终优于同行。2024 年安全现状报告|Splunk威胁环境评估虽然安全团队可以打一场漂亮仗,但威胁行为者仍然会找到方法,即使采取最好的防御措施。2024 年安全现状报告表明,攻击者并没有放慢脚步,2021 年以来,数据泄露和勒索软件分别增加了 13%和 14%。192024 年安全现状报告|Splunk2024 年,我们看到攻击者使用了不同的战术例如从利用人类欺骗的商业电子邮件入侵到依靠蛮力的 DDoS 攻击。尽管方法各异,但这些威胁都有一个共同的目标:造成破坏。网络安全事件仍然具有深远的声誉、法律和财务后果,但组织似乎更善于吸收打击即使同时还在承受更多攻击。例如,只有 44%的受访者表示,今年恢复事件需要大量的时间和人员,该数字比去年下降了 13%。此外,今年出现生产效率下降和机密数据泄露的受访者有所减少,这表明数字韧性举措正在发挥作用。过去两年出现的事件有所增多数据泄露商务电子邮件入侵网络勒索身份管理攻击DDoS 攻击勒索软件违反法规软件供应链攻击数字资产欺诈系统损害52IHGFECCCI 2024 年安全现状报告|Splunk网络焦虑并不总是与现实相符尽管数百万美元的赎金、CISO 吃官司和零日事件可以成为很好的头条新闻,但这些情况并不常见。当网络安全专家被问及他们最担心的威胁与他们实际上正在经历的威胁时,他们的恐惧有时其实没有必要。例如,尽管受访者表示 AI 攻击是他们最担心的问题,但他们更常见的问题则是数据泄露、商业电子邮件入侵、系统入侵和基于身份的攻击。相反的情况也是如此他们认为的威胁与实际攻击相比显得苍白无力。只有 18%的受访者将商业电子邮件入侵(BEC)列为最令人担忧的威胁,但它在 2024 年最常见的事件排行榜上却高居第二。但也有一些担忧与现实相符。例如,数据泄露是人们最关注的问题,也是遭受攻击最频繁的事件,有 52%的受访者表示在过去两年中至少发生过一次数据泄露事件。恐惧来自未知。组织制定了相关流程和程序来防御数据泄露等常见的攻击,但他们还不知道靠什么(如果有)来阻止基于 AI 技术的攻击。Splunk SURGe 总监 Marcus LaFerrera”基于 AI 技术的攻击数据泄露网络勒索商务电子邮件入侵数据泄露系统损害勒索软件网络勒索系统损害身份管理攻击最令人担忧的网络攻击是什么?你经历过哪些网络攻击?36R$I#I!H!G!2024 年安全现状报告|Splunk人类是出现问题的常见薄弱环节 破坏分子如何获得可乘之机?尽管自动化和生成式 AI 逐渐兴起,但人类仍然是薄弱的环节。受访者认为配置错误的系统是最常见的威胁向量(38%)和最令人担忧的威胁向量(35%)。这种问题和经验之间的一致表明,安全团队知道错误配置是一个问题(监控的功劳!),但无法有效地管理这个问题。系统越来越复杂和安全人才稀缺可能会加剧这个问题,使消除错误配置看起来像是一场打地鼠游戏。主要威胁向量381)(0%系统配置错误内部开发的应用程序中的漏洞已知软件漏洞横向运动零日漏洞222024 年安全现状报告|Splunk以经济利益为目标的攻击持续存在 当涉及到数据泄露、勒索软件和勒索这三种以经济利益为目标的攻击时,攻击者的面孔会非常可怕。曾遭遇数据和系统劫持的受访者比例从 2022 年的35%上升到2024 年的42%。网络勒索比勒索软件本身更常见,这种勒索软件策略包括窃取并威胁公开公司数据。48%的受访者表示他们经历过网络勒索,而 45%的受访者都曾经是勒索软件的受害者。网络勒索的流行可能归因于 2021 年 Colonial Pipeline 事件的成功,以及最近的MOVEit 攻击,在该事件中,俄罗斯勒索软件集团 Clop 预计从勒索中获得了 7500 万至 1 亿美元的不法收入。当组织意识到测试备份的重要性时,网络罪犯可能会从加密转向数据泄露和勒索这些技术涉及的工作较少,产生的回报较高,并且不依赖失败的备份。地缘政治问题加剧了网络危机 2024 年,全球动荡不安。这些日益加剧的地缘政治紧张关系对网络产生了影响,甚至影响到了看似与政治无关的组织。2023 年,一名激进黑客攻击了宾夕法尼亚州的一家水处理厂,这凸显出,面对整个国家的对手和恐怖组织,没有人是绝对安全的。86%的受访者表示,当前的地缘政治气候使他们的组织更容易成为攻击目标。科技公司尤其强烈地认同这种观点(42%),而整体受访者中持这一观点的组织则占 29%。SolarWinds 等与地缘政治关系有关的高调事件提醒科技公司,尤其是 IT 服务提供商,它们可以成为具有政治动机的威胁实施者实现一系列目标的桥梁。有趣的是,只有 17%的公共部门受访者强烈认为,不断加剧的地缘政治紧张局势使他们更容易成为攻击目标,这可能是因为政府组织一直是(很可能永远是)地缘政治攻击的目标。Splunk SURGe 安全分析师 Audra Streetman 说:“激进黑客行为并不总是那么高深莫测。”“出于政治动机的攻击者经常利用比较老的漏洞、默认密码和其他容易实现的目标来攻击组织,这也说明网络卫生比以往任何时候都更重要。”不断加剧的地缘政治紧张局势将继续增加风险,甚至对看似不关心政治的组织也是如此。我们全球供应链的一个副产品是每个数字环节继承的风险。Splunk 全球安全顾问 Mick Baccio”2024 年安全现状报告|Splunk不断攀升的合规压力对于安全专业人员而言,遵守法规就像死亡和税收一样不可避免。事实上,62%的受访者表示,他们已经受到了不断变化的合规要求的影响,这些政策要求披露重大的违规行为。242024 年安全现状报告|Splunk安全专业人士敏锐地意识到,监管环境将以有意或无意的方式造成他们工作的变化。例如,87%的受访者同意,一年后他们将以非常不同的方式处理合规问题。虽然,合规和网络安全无论如何都不会矛盾,但我们可能会遇到为了另一个项目而牺牲一个项目的意外后果。86%的受访者表示,他们将调整预算,以优先处理合规性法规带来的问题,而不是安全最佳实践。这些回答与我们 2023 年 10 月的 CISO 报告相呼应,在该报告中,84%的 CISO 受访者担心因网络安全事件而出现个人责任问题。在同一项研究中,84%的CISO 表示,他们的董事会或管理机构将强大的安全策略等同于监管合规,而不是传统的安全成功指标。原因不难理解。美国新规要求受证券交易委员会(SEC)监管的组织每年对所有“重大”网络安全事件进行披露和说明,并分享有关其风险管理方案的信息。如果不遵守相关规定,可能会受到严厉的经济处罚、法律起诉,甚至高管会因此入狱。在欧盟,NIS2 指令要求组织建立适当的小组来应对事件和信息系统,以交换信息。领先组织可能要为侵权行为承担个人责任。安全专业人员陷入两难境地。低估损失,他们将面临欺诈指控和可能的牢狱之灾。过高估计,或凭空想象会导致公司股价暴跌,并引发董事会的集体不信任。这在一定程度上提出了一个道德难题:你会少报入侵事件,希望它不被发现吗?或者在这个过程中,明知公司股价可能会下跌,却过度报告某个事件,以对自己进行最大的保全,包括你自己?现阶段,监管无疑是安全策略的支柱手段。像桌面游戏这样的模拟练习可以帮助企业发现差距,同时还可以向监管机构证明,在它们成为下一个头条新闻之前,它们在持续改进方面投入了资金。的受访者认为,企业将过度报告违规行为,以此作为规避处罚的手段。的受访者预测,上市组织的估值将因报告重大违规行为而下降。的受访者认为两种情况都会发生。63a&%报告重大违规行为的新规带来的后果252024 年安全现状报告|Splunk安全、法律和合规团队联合起来之前,合规部门主要是一个事务性部门。合规团队独立运行,通常不与安全团队沟通,甚至不完全理解安全团队的角色,反之亦然。监管的缺失让这种情况成为历史,因为不合规会带来更多严重的后果。2023 年10 月,美国证券交易委员会(SEC)指控 SolarWinds 前首席信息官欺诈和内部控制失误,导致了2020 年毁灭性的网络攻击,指控他在公司的网络安全实践方面误导了股东。董事会、法律、合规和安全团队之间的沟通是没有商量余地的,所以学会和睦相处是必须的。组织和他们的董事会将不得不长远考虑,认真思考,当违约发生时(而不是如果发生的话),谁应该承担最大的责任。而这个角色往往是 CISO。但也可能包括首席技术官(CTO)、首席信息官(CIO),甚至是董事会中的网络专家,他们可能成为衍生诉讼的目标,或遭受额外的审查。这些发展对安全专业人员产生了深远影响,大多数受访者都加强了安全实践,并促进了法律和合规团队之间的一致。让每个人都站在同一条战线上会有好处。调整优先任务、角色和职责会让安全态势更加有效,同时让法律和合规团队具有更高权限,并提升自我管理能力。安全和合规团队如何展开合作的受访者正在加强对法律和合规团队的安全培训的受访者正在加强对安全团队的法律和合规培训的受访者表示他们的安全团队中的每个人都把合规作为工作的一部分90&2024 年安全现状报告|Splunk合规业务涉及个人对 SolarWinds 的起诉是一个分水岭这是 SEC 首次就网络安全事件起诉 CISO。这一前所未有的操作标志着全球网络安全态度的一个转折点,这将对安全领导人及其团队产生持久的影响。现在,网络风险和商业风险毫无疑问是同义词。SEC要求高管和其他利益相关者承担责任,他们没有刻意隐瞒。除了一系列全面实施的全新全球指令外,安全团队还必须更快地报告事件。欧盟的NIS2 允许 24 至 72 小时,而美国证券交易委员会(SEC)则会提供稍多一点的喘息空间,最多可达 4 个工作日。尽管如此,窗口期仍在缩小这一发展可能也意味着我们对最老练的专业人士的需要。更多的事件问责制可能会带来更好的安全实践,但它也可能对这一职业产生寒蝉效应。有多少人愿意因为工作中的一个错误而坐牢呢?这种恐惧可能被夸大了,但这些特殊情况代表着一种真正的威慑。当网络团队面临人才短缺时,对合规惩罚的担忧是人员流失的又一个理由。合规压力导致员工对职业的不确定的受访者认为,个人责任的风险正在削弱网络安全领域的吸引力。的受访者表示,由于工作压力大,他们考虑过彻底离开这个行业。36%的受访者表示,他们曾多次考虑离开这一行业。76p2024 年安全现状报告|Splunk2024 年,网络安全将受到一系列全球动态的影响,包括新的合规要求和地缘政治紧张局势,但我们也有理由抱有希望。对 AI 持自信和乐观态度对防御人员而言是一种好现象特别是如果组织可以降低风险并保持对员工使用 AI 工具的方式进行控制。另一个乐观的理由是,企业正在加大对网络安全的投入。几乎所有接受调查的组织(96%)都表示,他们将在未来一到两年内增加在网络安全方面的支出。奋进未来两年排名最靠前的网络安全优先任务1.为网络安全和 IT 运维人员提供安全运营培训2.购买有助于实现自动化/协调 SecOps 流程的安全运维工具3.积极开发和构建安全分析和运营工具的集成软件体系结构4.除了现有的工具之外,研究、测试和/或部署基于云的安全分析/运营技术5.增加安全运维的外采资源(例如第三方托管安全服务供应商)282024 年安全现状报告|Splunk最后的建议面对如此多的变化和不断发展的技术,组织可能很难确定应将精力集中在哪些领域。Splunk 的专家结合今年的数据提出了他们的建议。在整个企业中采用生成式 AI。这一技术手段已经在整个企业(93%)和安全团队(91%)得到广泛采用。对生成式 AI 持抵制态度的组织可能会逐渐落后。试图完全禁止这一手段则会扼杀创新,同时为影子 AI 提供可乘之机。在不牺牲创新的情况下制定经过深思熟虑的生成式 AI 策略。在不考虑风险和影响的情况下仓促采用生成式 AI 是一个错误。围绕生成式 AI 制定策略,并为业务和安全用例制定计划,以领先于 34%尚未制定成文策略的组织。确定哪些生成式 AI 风险最令人担忧(49%的受访者认为最大风险是数据泄漏)并制定专门用于解决这些问题的策略。强调团队之间的协作和工具之间的整合。具备数字韧性的组织正在打破软件工程、工程运维,以及最重要的 IT 领域相互孤立的局面。76%的领先组织今年加强了与 IT 运维部门的合作,以提升数字韧性。减少摩擦的另一种方法是工具整合,它可以防止仪表板超载,并帮助团队专注于有意义的威胁。43%的受访者表示,他们在过多不同的安全工具和管理控制平台之间进行转换。与法律和合规团队统一步调。今年将迎来安全领导合规的一个新时代,他们应该与法律和合规团队密切合作,以最大限度地保持步调一致。91%的受访者表示,安全团队已经把合规作为他们工作的一部分。组织可以依靠模拟练习(如桌面游戏)来帮助发现安全性和合规性差距,同时向监管机构证明他们在持续改进方面进行了投入。292024 年安全现状报告|Splunk学习如何有效地协调资源。网络安全的成熟度来自于自上而下的整个协调95%的领先组织表示他们有资源和专门的机构来解决问题。CISO 尤其应该能够从商业角度讨论和转化安全风险,以便在与高管们的谈判桌上获得一席之地。以强调网络安全投资商业价值的方式与董事会沟通。这包括报告网络安全事件对企业的影响,或阐明可以产生严重法律或财务后果的合规性要求。跳出思维定式,弥合人才短板。数据显示,领先组织的招聘和培训方式相对没有那么传统。53%的领先组织正在使用 AI 和机器学习来填补招聘空缺,而在正在制定方案的组织中,这一比例仅为 28%。这些创造性的招聘和培训策略(比如允许非安全角色的人员进入 SOC 的方案)可以帮助缩小技能差距,并为安全团队实现急需的多样性。勿忘基本方案。虽然网络安全威胁变得越来越复杂,但对手仍然依赖于可靠的技术,系统配置错误仍然是 2024 年的主要威胁。实施基本管理方案可以保证组织获得最大的投资回报,使其更容易满足长期需求。尽管 76%的受访者认为完成 IT 资产清单花费的时间过长,但花这些时间是值得的。对资源及其依赖关系的最新视图可以防止出现危险的盲点。关注影响网络安全环境的全球动态。网络安全不是存在于真空环境的问题。政治、全球冲突和严格的合规要求对威胁环境有直接和间接的影响。86%的受访者表示,当前的地缘政治气候使他们成为更大的攻击目标,62%的受访者表示,他们受到了不断变化的合规要求的影响。当组织意识到这些动态变化时,他们可以更加轻松地绕过相关的障碍。302024 年安全现状报告|SplunkSplunk 的视角来自领导者,针对领导者想知道有关 2024 年及以后网络安全趋势的更多高管见解吗?了解领导者如何应对当今最紧迫的安全挑战,包括 AI、新兴威胁和不断变化的合规环境。了解更多信息开始使用构建数字韧性 当今的安全团队长期承受着来自网络威胁、不断变化的法规和不断加剧的地缘政治紧张局势的压力。看看你所在的组织如何在乱局中恢复,并蓬勃发展。构建 数字韧性了解如何通过 Splunk 方案实现数字韧性2024 年安全现状报告|Splunk行业数据我们确定了全球六个代表性行业的关键见解。方法学 制造业与其他行业相比,制造商更关注云安全,40%的制造商将其列为首选方案。零日漏洞也是制造商最关心的问题,39%的制造商将其列为最关注的问题,可能是由于维修关键基础设施固有的困难。制造业的受访者也在努力应对不断变化的威胁环境:51%的制造业安全专业人员表示,在过去的 12 个月里,安全需求变得更加严格。制造业的受访者更有可能表示,威胁复杂化的增加使他们陷入困境(50%,其他行业的这一比例为 38%)。这些困境可能表明企业投入不足,因为制造商不太可能(36%)预计网络安全支出大幅增加,而所有行业的这一比例为 48%。然而,在招聘安全人才方面,制造业受访者似乎比其他行业更有优势:27%的受访者表示,工作压力迫使他们或其他人多次考虑离开网络安全领域,这一比例远低于其他行业的 36%。27%的受访者表示,一个关键项目因技能短缺而多次推迟,而其他行业的这一比例为 37%。由于制造企业很难获得额外的网络安全预算,安全主管应该展示事件的财务影响,并专注于关键风险,以获得高层和董事会的支持。金融服务与其他行业相比,金融服务业的受访者对自己满足网络安全需求的能力更为乐观。50%的受访者认为今年更容易保持下去,而其他行业的这一比例为 41%。IT和工程领域的更多合作可能会推动这种乐观情绪。金融机构的安全团队表示,他们更倾向于与工程运营部门密切合作,制定各种数字韧性措施(64%,其他行业的这一比例为 46%)。金融服务受访者也对生成式 AI 在缓解人才缺口方面的作用更抱希望。他们一致认为生成式 AI 将在以下方面有所帮助:组织更快地获取和引进人才(63%,其他行业 58%)提高经验丰富的安全专业人员的工作效率(71%,其他行业 65%)但他们也认识到生成式 AI 的风险。76%的金融服务受访者表示,他们没有获得足够的培训来充分理解生成式 AI的影响,在其他行业中,这一比例为 65%。因此,39%的受访者将AI攻击列为首要问题。不出所料,金融服务公司的安全专业人士表示,合规已经成为一项非常庞大的工作,需要一个独立的团队来完成(43%,其他行业的这一比例为 39%)。网络勒索在金融机构中也更为常见(54%,其他行业为 48%)。研究人员在 2023 年 12 月和 2024 年 1 月对 1650 名安全管理人员进行了调查。受访者来自澳大利亚、法国、德国、印度、日本、新西兰、新加坡、英国和美国。他们也代表着 16 个行业:航空航天和国防、商业服务、包装消费品、教育、金融服务、政府(联邦/国家、州和地方)、医疗、生命科学、制造业、技术、媒体、石油/天然气、零售/批发、电信、运输/物流和公用事业。322024 年安全现状报告|Splunk通信和媒体57%的通信和媒体受访者认为他们的网络安全方案“非常先进”(其他行业的这一比例为47%)。然而,这个行业也最有可能表示他们没有资源或权力来解决挑战(16%,相比之下其他行业的这一比例为 8%)。通讯和媒体行业在以下方面面临着最大的压力:82%的受访者表示,由于受攻击面频繁变化和增长,他们很难应对安全卫生和环境管理方面的挑战,而在其他行业中,这一比例为 71%。62%的受访者表示,他们的 SOC 主要在过多不同的安全工具和管理控制平台之间进行转换,而在其他行业中,这一比例为 43%。47%的受访者表示,由于无力聘用或留住拥有适合技能的员工,他们或其他人曾多次考虑离开网络安全行业,而其他行业的这一比例为 36%。74%的受访者表示他们受到不断变化的合规要求的影响,而在其他行业中,这一比例为 62%。这些困难可能导致通信和媒体组织遭遇几种类型的事件的频率越来越高,包括内部攻击(55%,其他行业 42%)、数字资产欺诈(59%,其他行业 43%)、软件供应链攻击(57%,其他行业 43%)以及针对性攻击(54%,其他行业 44%)。通讯和媒体行业的系统配置错误问题更大,44%的行业受访者称这是过去两年存在这种状况的根本原因。通信和媒体组织应该专注于获得高管的政策支持,以进一步提高其网络安全方案的成熟度。当网络安全团队拥有解决问题的资源和权力时,他们可能会在威胁预防方面看到更好的结果。技术来自技术公司的受访者表示,他们很难适应复杂的环境。因此:技术公司更有可能将安全栈的复杂性作为它们难以满足网络安全要求的原因(技术公司的比例为 36%,而其他行业的比例为 26%)。技术公司更倾向于表示,他们拥有的分散安全工具过多,缺乏人手来完成手动工作(技术公司的比例为 37%,其他行业为 26%)。已知的软件漏洞(34%)和内部应用程序中的漏洞(34%)是技术领域事故的更常见的根本原因。不断变化的监管环境是另一个障碍41%的技术公司受访者表示,这导致它们难以应对相应的局面,而其他行业的这一比例为 28%。地缘政治冲突对技术公司的影响也更为严重。他们(42%)强烈认为,国际冲突导致他们的组织更多地成为对手的攻击目标,而其他行业的这一比例为29%。从积极的方面来看,技术公司(63%)更有可能表示预期的安全支出显著增加,而其他行业的这一比例为 48%。对于面临复杂性问题的技术组织来说,任务的核心应该是简化。工具整合可能是该领域的一个重要举措,而该领域似乎正遭受新奇事物综合征的困扰。332024 年安全现状报告|Splunk医疗 医疗组织的 MTTD 问题最多,31%的组织表示他们以月为单位衡量 MTTD,而在全部行业中,只有 19%的组织这样表示。与其他行业相比,此行业应对勒索软件攻击的数量也更多,在过去两年中,有 56%的组织表示发生过勒索软件攻击,而在全部行业中,这一比例为 45%。与其他行业相比,医疗行业也更有可能将过度宽松的帐户(33%)列为事故最常见的根本原因。与其他行业相比,医疗受访者表示他们遇到了更多与招聘相关的问题:44%的受访者表示,团队成员曾被要求在没有必要经验的情况下领导项目,而其他行业的这一比例为 39%。44%的受访者表示,有关键项目或计划因招聘问题而推迟,而其他行业的这一比例为 37%。大多数医疗受访者表示,他们受到了不断变化的合规要求的影响(67%)。他们也更有可能强烈认为(44%,所有行业中最高的比例),这些变化正在导致更多的高级人员要做到 24/7 随叫随到,而在其他行业中,这一比例为 35%。医疗领域的受访者对生成式 AI 所持的乐观态度最低。52%的受访者表示,他们预计对手会从中受益更多,而其他行业的这一比例为45%。他们也对使用 AI 来对抗他们预计对手将获得的竞争优势不太感兴趣,只有 37%的医疗机构将 AI 列为优先事项,而其他行业的这一比例为 44%。考虑到医疗部门在威胁检测、勒索软件预防和招聘方面存在的问题,回归到网络安全卫生的基础问题可能是一条成功的道路,这样这些组织就能够以更少的投入完成更多的工作。公共部门来自公共部门的数据凸显了对相关知识的渴求。公共部门的受访者更重视安全意识培训(24%,其他行业的比例为 17%)。因此,他们认为最大的挑战是缺乏网络安全知识和管理人员的支持(28%,其他行业为 20%)。虽然去年公共部门的受访者对传统 AI 减轻安全团队负担的能力感到犹豫,但今年公共部门对生成式 AI 表现出了乐观的态度:来自公共部门的受访者最有可能看到生成式 AI 对业务产生“改变游戏规则”影响的机会(55%,其他行业 47%),并预计安全团队将获益最大(55%,其他行业 46%)。公共部门的安全团队在采用可接受的 AI 使用政策方面处于领先地位(77%,其他行业 66%)。公共部门的受访者也更有可能设想生成式 AI 的安全用例,包括威胁检测(46%,其他行业 35%)、渗透测试(42%,其他行业 29%)和安全团队培训(44%,其他行业 34%)。公共部门组织似乎也比同行更渴望实现 SecOps 自动化,包括自动化 SSL 证书管理(43%,其他行业 31%),跨安全控件的操作编排(53%,其他行业38%),以及警报增强(47%,其他行业32%)。在网络安全基础方面,公共部门更频繁地将配置错误列为威胁的首要因素,42%的受访者表示它们通常是根本原因。公共部门的受访者也最可能担心横向运动,39%的受访者将其列为首要担忧。缺乏对AI的知识和热情可能是一个危险的组合,因此公共部门组织应该采取一种慎重的方法来采用 AI,并在加入生成式 AI的浪潮之前接受风险方面的培训。342024 年安全现状报告|Splunk典型国家/地区来自全球八个国家/地区的简要情况。澳大利亚 来自澳大利亚各组织的数据描绘了一幅令人痛心的网络安全图景。澳大利亚的组织更有可能强烈认同地缘政治压力会加剧网络攻击(44%,而全球比例为 29%)。56%的澳大利亚受访者经历过全国性攻击,而全球这一比例为 39%。事实上,澳大利亚受访者经历的每种攻击类型都高于平均水平,包括但不限于数据泄露(63%,全球52%);违规(53%,全球43%);内部攻击(55%,全球 42%)和商业电子邮件攻击(59%,全球 49%)。也许网络攻击频率更高可以归因于澳大利亚受访者的可见性相关问题。72%的受访者表示,他们在不同的安全工具之间切换过多(全球比例为 43%),35%的受访者表示攻击面可见性存在问题(全球比例为 20%)。难怪澳大利亚也提到了检测问题,50%的受访者表示一般情况下 MTTD 需要几个月,而全球的这一比例只有 19%。澳大利亚的受访者也比其他国家/地区的受访者更容易应对与工作人员相关的挑战:52%的受访者表示,团队成员曾多次被要求在没有必要经验的情况下领导项目,而在全球范围内,这一比例为 39%。50%的受访者表示,工作压力迫使自己或他人多次考虑过放弃网络安全工作,而全球只有 36%的受访者这样认为。52%的受访者表示,关键的安全项目或计划被多次推迟,而全球这一比例为 37%。澳大利亚是生成式AI 采用和政策制定的领导者,69%的受访者表示他们的员工使用公共生成式 AI 工具进行工作,而全球这一比例为 54%,73%的受访者表示他们已经为生成式AI 的使用制定了安全政策,全球这一比例为66%。法国法国的受访者更倾向于表示,他们在过去一年里一直在努力满足网络安全需求(56%,全球比例为 46%)。不出所料,该国家的网络安全成熟度似乎也较低,只有 37%的受访者认为他们的方案“非常先进”,而全球的这一比例为 47%。当被问及为什么网络安全需求越来越难以满足时,33%的法国受访者表示,他们的安全栈中的工具和供应商数量已经变得过多,而全球这一比例为 26%。复杂的技术栈通常会导致配置错误,40%的法国受访者表示这是一个担忧。在广泛采用具有AI 和机器学习能力的网络安全工具方面,法国落后于其他国家/地区(27%,全球 37%)。虽然法国的组织更倾向于表示他们专注于AI(法国56%,全球44%),但他们为生成式 AI 的使用建立安全策略的可能性更小(52%,全球 66%)。好的一面是,法国受访者表示,在过去两年中,他们经历的以下攻击类型的事件少于全球平均水平:44%的受访者经历过数据泄露 37%的受访者违反了监管合规性 37%的受访者遭遇了 DDoS 攻击 40%的受访者成为勒索软件攻击的受害者352024 年安全现状报告|Splunk德国来自德国受访者的数据表明,与他们的同行相比,他们对生成式 AI 的风险有更敏锐的意识:41%的德国受访者强烈同意,生成式 AI 将他们的攻击面扩大到令人担忧的程度,而全球的这一比例为 31%。38%的德国受访者强烈同意,生成式 AI 使他们现有的攻击面更脆弱,而全球这一比例为 29%。德国的组织似乎在人员配备方面遇到了较大的困难。33%的受访者表示,过去一年网络安全需求更难满足的原因是无法聘用到足够的熟练安全人员,而全球这一比例为 25%。在 SOC 中,53%的德国受访者认为不同的安全工具之间存在过多的转换(全球这一比例为 43%)。也许这些不同的工具中有许多是基于云的工具,因为德国认为对云基础设施的攻击是最令人担忧的类型之一(23%)。这些招聘和工具限制可能导致 MTTD 比其他国家/地区稍长;40%的德国受访者以周为单位衡量他们的 MTTD,全球的这一比例为35%。尽管遭遇了这些困境,但德国在遭受勒索软件攻击时抢救数据和系统的能力方面,仍优于其他国家/地区。58%的受访者在过去两年中成功做到了这一点(这是我们调查的所有国家/地区中比例最高的),而全球这一比例只有 44%。德国的受访者也更有可能(94%)认为,当今的地缘政治气候正导致更多的组织成为对手的攻击目标,而全球的这一比例为 86%。印度与其他国家相比,印度有最高比例(66%)的组织认为自己的安全方案“非常先进”,而全球这一比例为 47%。他们内部团队的合作比例也更高软件工程团队 58%,工程运维团队 52%,IT团队 78%。印度的受访者也特别关注云安全,48%的受访者将其列为首选方案,而全球的这一比例为 35%。不出所料,与其他国家/地区相比,印度最有可能将对云基础设施的攻击列为首要问题(25%)。然而,印度最担心的是网络勒索,37%的受访者表示这是最令人担心的问题,而全球的这一比例只有 24%。要求披露重大违规行为的合规要求似乎对印度产生了很大影响,81%的印度受访者表示他们受到了这些变化的影响,而全球这一比例为62%。相应地,54%的印度受访者强烈表示,安全团队中的每个人都应该将合规作为自己工作的一部分,而在全球范围内,这一比例为 42%。印度的受访者对生成式 AI 将如何扭转局面最为乐观51%的受访者预计防御人员将获得更大的优势,而全球的受访者的这一比例为 43%。他们还更经常地认识到生成式 AI 的潜在用例,其中包括:威胁检测和优先级排序(52%,全球 35%)训练用例(50%,全球 34%)威胁情报分析(55%,全球 39%)创建检测规则(44%,全球 30%)安全数据汇总(54%,全球 34%)同样,印度的受访者似乎在构建生成式 AI 策略方面走在了前沿。82%的受访者为终端用户建立了生成式 AI 安全策略,而全球这一比例为66%。362024 年安全现状报告|Splunk日本与其他国家/地区相比,日本受访者更有可能认为网络安全需求越来越难以满足(54%,全球 46%)。只有 27%的日本受访者认为安全工作越来越容易,而全球的这一比例为 41%。在这些受访者中,只有 5%的受访者认为这项工作变得容易得多,而全球平均水平为 17%。为什么日本的组织难以满足这些要求?与其他国家/地区相比,他们更多地提到了以下不足:36%的受访者认为他们的安全栈变得过于复杂,而全球的这一比例只有 26%。29%的受访者无法有效分析所有安全相关的数据,而全球这一比例为 21%。27%的受访者认为攻击面的可见性有限,而在全球范围内这一比例为 20%。另一种可能是预算不足。日本表示预期网络安全支出大幅增加的可能性更低(38%)。日本受访者对生成式 AI 对 SOC 从业者的好处不太乐观,只有 37%的受访者强烈认为这将有助于发展他们的技能,而全球这一比例为 43%。在接受调查的国家/地区中,日本最重视勒索软件防御,21%的受访者认为这是最重要的举措。这种注意力的增强可能会以更快 MTTD 的形式产生回报43%的日本受访者表示了以天为单位的 MTTD,而全球平均水平为33%。新加坡来自新加坡受访者的数据显示,新加坡组织的网络安全方案不如其他国家成熟。新加坡认为其网络安全方案“正在制定”的受访者比例最高(14%,全球数据为 7%)。他们不太可能表示自己有权力和资源应对网络安全挑战(只有 77%,而全球总体比例为 91%)。新加坡表示预期网络安全支出大幅增加的可能性最低(28%)。26%的新加坡受访者不知道他们的平均 MTTR,25%的受访者没有进行事后分析来计算 MTTD。因此,新加坡受访者不太可能认识到数字韧性带来的商业影响。只有 23%的受访者强烈认为数字韧性可以提高客户保留率,而全球这一比例为 33%。25%的受访者强烈认为,数字韧性可以防止出现重大服务中断,全球这一比例为 35%。来自新加坡的组织似乎较少关注合规性、安全性和法律团队之间的合作。只有 29%的受访者强烈认为他们需要加强合规团队的安全培训,而全球这一比例为 42%。只有29%的受访者强烈认同将合规性纳入安全团队的工作流程,而全球的这一比例为42%。我们的数据表明,方案成熟度和 AI 优先级之间存在相关性,因此,新加坡只有 36%的受访者专注于AI 手段,而全球这一比例为 44%,这并不奇怪。他们也不太可能(48%)构建生成式 AI 策略。与其他国家/地区相比,新加坡也是最不担心 AI 攻击的国家,只有 23%的受访者将其列为最令人担心的攻击。372024 年安全现状报告|Splunk英国与全球其他国家/地区相比,英国的数据显示总体上是积极的。英国各组织正在加强合作,以更经常地实现韧性:66%的受访者表示他们的安全团队与软件开发团队正在加强合作(全球比例为 54%)。56%的受访者表示,他们的安全团队和工程运维团队正在加强合作(全球比例为 46%)。英国受访者在自动化能力方面也领先于其他国家/地区。特别是,它们在通用过程自动化(40%)和漏洞管理(35%)方面的自动化比例很高。技能短缺对英国组织的影响不像其他国家/地区那么大。30%的英国受访者表示,团队成员多次被要求在没有必要经验的情况下领导项目,而全球的这一比例只有 39%。只有 23%的受访者表示,由于技能短缺,关键的安全项目多次失败,而全球这一比例为 33%。这些方面的成功可能是英国组织遭受以下攻击的概率低于平均水平的原因:违规(35%,全球 43%)内部攻击(37%,全球 42%)商业电子邮件入侵(38%,全球 49%)DDoS 攻击(38%,全球 46%)帐户接管攻击(34%,全球 42%)勒索软件攻击(37%,全球 45%)软件供应链攻击(35%,全球 43%)美国美国受访者的数据很少偏离全球平均水平。但美国受访者领先于平均值的一个领域是生成式 AI 的使用策略72%的受访者都表示他们已经构建了这种策略,而全球这一比例为66%。相反,美国受访者是最不担心 AI 滥用是根本原因的群体,比例只有 18%。美国受访者在 MTTD 较长的问题上也很为难。40%的受访者表示他们的MTTD 为数周时间,而全球这一比例只有 35%,22%的受访者表示典型的 MTTD 是几个月,而全球这一比例只有 19%。但这似乎是一项正在进行的工作,因为30%的受访者提到他们通过过程自动化改进了 MTTD,而全球的这一比例为 25%。对于未来的优先事项,美国受访者更倾向于解决网络安全人才短缺的问题。21%的受访者表示希望聘用更多的安全运维人员(全球比例为 18%),25%的受访者计划提供安全运维培训(全球 23%)。Splunk Splunk 和 Turn Data Into Doing 是 Splunk Inc.在美国和其他国家/地区的商标和注册商标。所有其他品牌名称、产品名称或商标均属于其各自所有者。2024 Splunk Inc.保留所有权利。24-492903-Splunk-State-of-Security-110_SC关于 SplunkSplunk 可以帮助提高组织的数字韧性。领先组织使用我们的统一安全和可观测性平台来保持其数字系统的安全和可靠。组织相信 Splunk 可以防止基础设施、应用程序和安全事件成为重大问题,可以更快地从冲击中恢复到数字系统,并快速适应新的机遇。与 Splunk 保持对话。

    浏览量43人已浏览 发布时间2024-05-16 38页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 金万维&帮我吧:软件行业客户服务白皮书(2024)(57页).pdf

    软件行业客户服务白皮书(2024)摘要软件企业客户服务最新聚焦及趋势软件企业的客户服务已经迈入服务驱动增长时代,其客户服务需要通过一系列的正确的战略举措跨越服务质量与服务成本的鸿沟。软件企业客户服务管理体系一套行之有效的服务管理体系势在必行,我们谓之曰:从组织、流程、指标三个核心维度打造的营销服一体化的ISV客户服务平台。一些关键问题的主流建议客户服务过程中有一些关键焦点值得专项讨论,如对投诉的定位与处理,SLA制度的落地实施,集团公司的客户服务模式等等。实证派的最佳系统构建经验一些著名的头部软件公司的客户服务系统的构建和运营,代表了软件公司客户服务体系的最佳实践,对行业内客户服务具有显著的指导意义。目录 CONTENTS软件企业客户服务趋势及焦点软件企业服务管理体系软件企业客户服务之组织软件企业客户服务之流程软件企业客户服务之报表焦点问题大语言模型在帮我吧智能客服场景应用典型案例PART/01软件企业客户服务趋势及焦点我们正处于一个纷繁复杂的变革时代理解公司的业务以及业务的发展历程和发展战略,是做好客户服务的基础,所以我们从理解软件行业所处大变革背景,开启客户服务工作优化之路。软件企业的发展路径我国的软件企业,刨除以Idea 融资开启发展之路,基本可以归纳为两种发展模式:姿势一:找到一个跨行业的聚焦的功能需求痛点,通过满足特定需求,发展公司的业务姿势二:围绕某个细分行业,通过满足该行业客户的所有需求,发展公司的业务对软件即服务的两种理解软件即服务有两种理解,一种是业界通行的SAAS理解,多租户互联网系统多租户互联网系统据此而来;另外一种则源于软件行业大环境:发展至今,大多数软件企业竞争激烈,内卷严重,增长乏力,变革迫在眉睫,受此影响,加上软件企业的内在的服务特质,出现了软件行业的最大变革:一切软件一切软件过程皆服务过程皆服务。即:软件企业的营销、销售、研发、运维、项目实施、产品设计,与客户服务本身一起,都成为一种服务。软件皆服务产品与服务边界变得越来越模糊老客户增购和新客户营销同等重要营销和服务分的不是那么清楚合同签订之前提供服务的场景比比皆是软件企业传统的产品形态标准产品解决方案综合形态我们需重新校准软件行业客户服务业务维度藉由技术发展与管理创新的双重维度,软件企业的产品形态与服务模式在发生重大变化技术维度以大数据、网络通讯、云原生、知识图谱、PAAS、DevOps,尤其是人工智能技术为代表的的数字化技术支撑,为各行各业的客户服务带来了极大的变革原动力。软件企业历来以新技术或新技术应用为产品根基,软件企业的客户服务也最适合积极拥抱新技术,将其应用于工作实践环节,赋能智能客服产品及服务,改进客户服务工作效率,提高客户满意度。管理维度我国企业的管理模式也在不断创新。从扁平化组织,阿米巴模式,到重视价值输出的端到端流程,再到基于数据,拥抱变化的理念,软件行业的市场、运营、销售、实施、服务模式也在不断的优化和变革。产品形态交付模式盈利模式服务模式部署方式从产品到服务软件行业客户服务焦点之一:双驱动的增长新路以价值为导向,优化组织及流程将产研驱动的单边流程,升级为产研及服务双驱动流程在传统的单边业绩增长模式中,软件企业业绩来自于产品收入,而客户服务,连同市场营销等部门,被认为是成本部门而单独运营。服务被限制在客户服务部,服务的首要目的是减少成本而降低业绩抵扣,而非创造价值。IPDITRLTC在软件企业发展模式上,以华为为代表的IPD<C&ITR核心运营模式已经成为事实上的行业标准IPD(产品集成开发)LTC(Leads To Cash收款)ITR(Issue to Resolved从问题到解决)由内及外的产品驱动由外及内的服务驱动软件企业的双驱动增长模式软件企业的传统增长模式技术IPD产品方案销售在产品服务双驱动的增长新路中,传统的成本部门被纳入客户服务范畴,通过老客户的二次价值挖掘以及新客户的价值变现基本处于同等重要的位置。在此基础上,实现“服务前端化“、“销服一体化”,最终实现客服部门从成本部门到利润部门的飞跃。业绩业绩增长成本市场营销客户服务客户成功业绩增长c软件行业客户服务焦点之二:跨越质量与成本的鸿沟客服工作需在客户满意度最大化的前提下,实现成本投入最小化,因此,精益化服务管理成为必然。提高客户满意度提高服务质量好的产品和方案和实施服务的及时性、准确性服务的专业性、前瞻性粗犷的单纯提高服务质量,必然带来服务成本的上升。对外部客户,是与日俱增的高质量客户服务需求;对内部管理,是日益复杂的内部产品及方案形态。因此,既要强调服务质量的提高,又要强调对服务成本的有效控制,在这两难之中取得突破,跨越鸿沟。建立起一套行建立起一套行之有效的服务之有效的服务经营管理体系经营管理体系新购 续购 增购解 决之 道组织流程指标主营业务 服务业务工具、知识软件产品服务化客服服务产品化IT支撑系统智能化管理决策数字化客服部ISV客户服务工作的焦点之三:我们需要寻找正确的管理之道从服务是客服部的事,转为服务全链路协同客户生命价值全周期管理:营销、销售、服务以客户为中心:全链路围绕客户需求提供客户服务三级服务体系:一线客服、二线技服与三线产研从粗犷式绩效考评到精细化赋能管理一站式集成提效:电话、在线聊天、工单、台账远程协助集成:客服工作台一站发起远程知识库赋能:服务过程无处不在的知识协助透过服务窗口,洞悉背后的产品方案及市场触达产品及方案:服务来因的深度统计投诉与建议:深挖投诉背因多维度报表:组织、产品方案等多维度指标体系绩效考评全链路赋能与考核客服服务业务洞察PART/02软件企业服务管理体系了解你的客户:客户价值客户生命周期理论(客户的终生价值:CLV:customer lifetime value)也称客户关系生命周期理论,是指从企业与客户建立业务关系到完全终止关系的全过程,是客户关系水平随时间变化的发展轨迹,它动态地描述了客户关系在不同阶段的总体特征。客户生命周期可分为考察期考察期、形成期形成期、稳定期和退化期稳定期和退化期等四个阶段。考察期是客户关系的孕育期,形成期是客户关系的快速发展阶段,稳定期是客户关系的成熟期和理想阶段,退化期是客户关系水平发生逆转的阶段。客户价值:现有价值、未来价值、衍生价值客户带来的收益包括:客户初期购买给企业带来的收益客户重复购买带来的收益客户增量购买及交叉购买带来的收益维持客情关系的成本降低及提高营销效率带来的收益客户向朋友或家人推荐企业的产品或服务带来的收益客户对价格的敏感性降低而带来的收益直接价值间接价值客户分级服务分级VVIP客户VIP客户普通客户潜在客户洞察你的服务:软件过程皆服务软件本身的存在是为了满足客户的需求,是为客户服务的一种集中表现;软件过程全生命周期,包括客户需求的理解、客户需求的实现、客户软件的升级巡检等运维工作,与客户服务一样,都是服务的不同存在形式。需求产研实施回访产品升级技术支撑运维作业故障处理建立你的业务模型:构建营销服一体的ISV服务平台组织流程指标主营业务 服务业务软件企业的客户服务,是企业众多业务管理环节的一环,由于软件企业的服务业属性,我们应该从企业管理的高度,设计与定义软件企业客户服务业务模型,并在此基础上,为其建模并开展工作。工具知识客户服务客户客户客户客户客户客户了解你的客户客户客户画像梳理你的业务业务从业务出发定义你的组织组织营销服大服务规范你的流程流程有章可循量化你的指标指标有度可量沉淀你的知识知识知识显性化使用好的工具工具解决方案明确你的数据模型:客户服务画像(客户服务台账)软件企业需建立完整的客户服务画像,俗称台账(Standing book),以便于提高服务工作效率,检验服务效果,甚至洞察新业务及服务新模式。在软件客户服务领域,台账包括相对静态的描述客户或用户特征的企业客户画像和个人用户画像,以及动态的所有与该客户的服务相关的日积月累的信息:不断增长的客户信息某客户于某时通过某销售,购买了某产品某客户于某时通过某客服,申请了某服务企业客户画像行业经营模式规模组织架构发展阶段供应链客户IT情况主营品牌产品线个人用户画像决策链角色年龄/性别职位/职能性格特征信息化偏好/痛点工龄/喜好历史采购情况婚姻/生育主营品牌产品线职业属性个人属性PART/03软件企业客户服务之组织三级服务体系:集成三线产研服务管理部的职责:负责明确一二线客服工作目标与工作方法,明确一二线服务与三线服务之间的边界与职责一线客服的职责:一线客服一般负责快速响应客户服务请求,并对有明确解决方案的服务请求提供具体服务二线技服的职责:对于短时间内无法解决的服务请求流转到二线技术服务,提供诊断分析和具体服务三线产研的职责:三线产研由于其工作内容分为产品驱动与服务驱动两部分内容,所以对其服务相关工作职责应该灵活定义为:客服到产研有高效沟通渠道、有明确流程约束、有明确指标可考评判三线产研服务工作的关键要素:明确分类服务型任务VS产品型任务产研管理系统与客户服务系统做好集成建立产研服务质量和效率指标体系采用灵活的SLA制度实现服务质量的管理产品研发三线服务二线服务一线服务流转流转服务需求服务管理大服务(三级服务体系)IPDITRLTC拓展三级服务体系到营销服一体化软件企业客户服务蓝图观察窗口:组织与流程如前所述,服务驱动的产研只涵盖部分IPD流程据此理念,实现“以客户为中心”的虚拟组织IPDITRLTC二线客服一线客服流转流转服务请求服务管理全服务(三级服务体系)市场销售售前商机&服务产品研发售后服务(三级服务)服务部市场机会流 转流 转服务体系与架构:以客户为中心(以客户服务为中心)以客户为中心以流程为导向以价值为目标理念&组织的演进以客户为中心,要求软件企业面向客户价值设置组织结构在实际的环境中,由于组织重构一般而言需付出巨大管理代价,故而往往采取渐进式的组织优化,通过各种策略与手段,最典型的是通过IT技术手段,建立虚拟的云化组织,来打破部门墙,实现以客户为中心的端到端流程以产品及管理出发的组织架构模式忽视客户感知价值的服务模式:以客户为中心的组织架构模式客户客户一线客服二线技服三线产研PART/04软件企业客户服务之流程建立强调价值的客户服务端到端流程构建强调价值的客户服务端到端流程,以“客户服务请求”作为一端,“客户需求的满足”作为另一端,打破部门壁垒,形成横向贯通的、完整的客户服务流程链条,实现价值增长。流程与组织密不可分流程与组织密不可分,对于软件企业客户服务来说对于软件企业客户服务来说,流程是实现全链路协同服务的管理基础支撑流程是实现全链路协同服务的管理基础支撑,流程确实需要付出一定的成本代价流程确实需要付出一定的成本代价,但没有但没有流程流程,全链路协同会累全链路协同会累,会乱会乱,会根本不可为会根本不可为。帮助公司实现从“人治”到“法治”的转变流程体系能够帮助公司减少对人的依赖流程体系能够将高层从日常业务中解放出来流程体系能够使公司对员工的考核更加客观和公正将优秀个人的能力变成优秀的组织能力端到端流程价值:打通部门墙,加强横向协作完成客户服务最佳实践的提炼和固化降低人力、财务与管理成本,进而降低整体的运营成本保证公司客户服务管理目标的真正落地流程视角组织视角客户客户职能部门职能部门职能部门职能部门客户需求价值端到端流程准确全面定义客户服务流程业务理解流程梳理流程诊断流程优化落地实践识别流程价值链:核心业务流程管理支持流程判定活动类型:增值活动传递活动冗余活动外部依赖程度:协同部门依赖IT系统依赖人员能力依赖流程是由一系列的有序活动组成的流程是由一系列的有序活动组成的,准确全面定义流程准确全面定义流程,首先要对流程中的关键活动做出准确全面的定义;首先要对流程中的关键活动做出准确全面的定义;藉由日益变化的内外部环境藉由日益变化的内外部环境,流程不可能一成不变流程不可能一成不变,而必须通过对不断变化的业务的理解而必须通过对不断变化的业务的理解,而不断的优化乃至重构而不断的优化乃至重构。流程A 活动1活动2活动3角色模版操作指导规范标准CheckList业务对象 活动2业务对象 评价能力要求KPI通知应用系统应用系统由.来完成检查点是.的输入输出给交互支持衡量传达IT支撑告警典型流程示意:市场营销及销售部分的流程图示释义:1、圆形或三角,表示活动2、方形,表示工单3、通过活动,工单进行加工或流转4、实线表示实际的关联5、虚线表示逻辑上的关联备注:接待主动咨询的是角色,可以定义为售前客服主动咨询过来的线索会直接到达MQL实际上并没有明确的驳回动作,没有推进的商机,由线索管理员和渠道经理来进行不定期的维护和挖掘典型流程示意:市场营销及销售部分的流程诠释角色名称岗位职责所涉流程MDR-售前-CC对市场部门获得的线索进行清洗及初步筛选,输出符合公司要求的MQL线索,分配给销售部门商机流程MDR-售前-IM对市场部门获得的线索进行清洗及初步筛选,输出符合公司要求的MQL线索,分配给销售部门商机流程SDR主要进行电话的拓展输出有效的SQL线索,分配给销售部门商机流程线索管理员主要负责商机流程的日常管理,保障正常运转,比如流程的配置、优化以及对出现偏差的线索流程进行纠正等商机流程大区销售经理对分配到自己所属大区的有效线索进行分配,并有对自己大区线索进行管理的职责商机流程大区销售对分配到自己名下的有效线索进行跟踪,对证实的线索升级到SQL线索级别,并进行后续跟踪销售商机流程多渠道获客并未在营销流程中体现:官网产品试用第三方引流线下活动有序的销售过程:通过部流转到销售,完成市场获客任工单视图在系统内务符合条件的线索转移到CRM进行后续跟踪通过销售漏斗完成销售跟踪过程典型流程示意:投诉及建议流程示意图严肃认真对待客户投诉 客户投诉是机会,需要认真对待有些投诉经了解后,会转化成一个商机通过对投诉的分析改进产品、改进服务、提高员工绩效投诉的具体对象具体内容应该映射公司的客服组织与产品及方案的细节投诉理论上应该与客户服务平行的独立部门来管理典型流程示意:服务请求流程示意图服务请求流程示意图(GnWay Ver20221019)服务请求机器人机器人三线产研三线产研分公司服务经理角色分公司服务经理角色现场技术支持现场技术支持二线支持二线支持二线经理二线经理一线班长一线班长一线客服售后客服-CC售后客服-IM一线客服售后客服-CC售后客服-IM服务入口服务入口产品使用问题产品使用问题如有必要创建工单如有必要创建工单如有必要创建工单YN完工反馈系统同步技服可自建工单客成可自建工单未解决需流转YNN/超期NY远程协助问题解决解决问题客户选择服务类型客户自建工单呼叫中心售后客服接待并尝试解决问题解决IM售后客服接待并尝试解决需要上门问题工单:服务请求工单审核、分类、或自动派发知识库问题工单服务请求工单已解决技服客成自建工单研发任务系统自建工单客户选择服务类型根据类型不同路由问题工单服务请求工单IM问题工单服务请求工单解决问题IVR导航通知客户预约及上门子流程问题工单服务请求工单问题工单服务请求工单更新知识库问题工单:服务请求工单分类、或自动派发通知客服电话审核、分类、或自动派发审核、确认巡检工单客户选择服务类型工单IM机器人服务结束问题工单:故障工单需求工单运维工单问题工单:Bug工单按需远程协助派发到分公司角色处理服务请求问题工单服务请求工单问题解决NY问题工单服务请求工单问题工单服务请求工单审核、确认完工反馈系统同步经过产研的,需要审核确认没有经过产研的,不需要审核确认升级问题工单Bug工单问题工单故障工单升级满意度评价关闭工单已解决系统存档ISV常见流程一览:流程一览流程之间可转换或升级:软件企业应习惯于用工单流程来承载并规范化客户服务工作软件企业应习惯于用工单流程来承载并规范化客户服务工作,实现多链路协同实现多链路协同,做到服务有条理做到服务有条理,服务可留痕服务可留痕,服务可统计服务可统计,服务可展示服务可展示。流程类型:客户服务相关流程类型可分为服务流程与支撑流程,适用于软件企业的流程如右图所示。如一个商机流程期望能转换为一个销售跟踪流程;而一个投诉处理则也许会派生出一个商机,触发商机流程如一个服务请求流程可能经分析后转换为一个Bug工单流程,并触发后续的产研协同再如一个运维工单,可能派生触发一个产品升级流程备注:角色的详细定义,需与流程配套规划;详细设计可联系金万维获得营销部分流程商机流程客户反馈流程专业服务流程管理支撑流程销售跟踪流程投诉处理流程建议处理流程服务请求流程运维工单流程项目实施流程任务派发流程巡检工单流程需求流程产品升级流程系统迁移流程Bug工单流程故障工单流程流程审批流程报表审批流程知识库处理流程工作量上报流程ISV常见流程一览:流程一览流程之间可转换或升级:如一个商机流程期望能转换为一个销售跟踪流程;而一个投诉处理则也许会派生出一个商机,触发商机流程如一个服务请求流程可能经分析后转换为一个Bug工单流程,并触发后续的产研协同再如一个运维工单,可能派生触发一个产品升级流程软件企业应习惯于用工单流程来承载并规范化客户服务工作软件企业应习惯于用工单流程来承载并规范化客户服务工作,实现多链路协同实现多链路协同,做到服务有条理做到服务有条理,服务可留痕服务可留痕,服务可统计服务可统计,服务可展示服务可展示。流程类型:客户服务相关流程类型可分为服务流程与支撑流程,适用于软件企业的流程如右图所示。备注:角色的详细定义,需与流程配套规划;详细设计可联系金万维获得市场营销类角色MDR-售前-CC销售类角色直接服务类角色(一二线)管理类角色MDR-售前IM大区经理大区渠道经理分公司服务经理投诉建议接待专员SDR线索管理员分公司销售经理售后客服-CC售后客服-IM一线班长现场技术支持二线技术支持二线经理三线产品类角色产品经理研发经理运维工程师运维组长研发总监产品总监客服总监PART/05软件企业客户服务之报表业务的健康度需要指标和报表来衡量管理者需要时刻关注客户服务的业务健康度管理者需要时刻关注客户服务的业务健康度。我们可以从客户满意度出发我们可以从客户满意度出发,通过衡量客户满意度和忠诚度通过衡量客户满意度和忠诚度(NPSNPS净推荐值指标净推荐值指标)获得业务健康度;获得业务健康度;除此之外除此之外,从服务业务过程获得直观的指标值从服务业务过程获得直观的指标值,也是必不可少的健康度测量方法也是必不可少的健康度测量方法。指标&报表的发起:自上而下的发起(体系化)自下而上的发起(灵感式)从客户满调发起(第三方评价)指标&报表的覆盖:覆盖到业务全流程覆盖到业务所有数据覆盖到典型客户群体指标&报表的流程:定义完整且准确指标的可解释性经过审核流程而确立指标&报表的应用:随业务优化而升级透过管理驾驶舱看服务全貌报表是指标及指标体系的管理角度的呈报表是指标及指标体系的管理角度的呈现现,报表在服务业务的持续优化中起着报表在服务业务的持续优化中起着很关键的作用很关键的作用,是数字化进程不可忽视是数字化进程不可忽视的一环的一环。业务报表业务处理系统业务分析系统指标报表指标&报表体系管理域业务域技术域数据指标体系建立步骤目标 明确管理目标 明确设立指标体系的目的,笼统的讲,比如降本增效增收等主体指标体系 指标体系化 建立契合业务及管理目标的指标体系报表 确定报表呈现 需要哪些报表承载上述指标体系管理 指标的管理 建立常态化的指标及报表管理机制应用 指标的应用 规划指标体系在数字化闭环中的应用方法体系化思考体系化思考,流程式构建是服务过程指标监测的最佳流程式构建是服务过程指标监测的最佳实践实践。软件企业应遵循下图所示的建设步骤不断优化软件企业应遵循下图所示的建设步骤不断优化自己的健康度监测实践:自己的健康度监测实践:明确衡量主体确定量化指标明确管理目标指标体系化确定报表呈现指标的管理指标的应用明确衡量主体明确哪些部门人员在哪些环节中参与了哪些产品的什么形式的服务确定量化指标确定分散在服务各主体和各环节的指标指标&报表的概念及体系化思考指标指标是衡量目标的参数,预期中打算达到的指数、规格、标准,一般用数值表示原子指标是指不加任何维度修饰的指标,包括因子指标和复合指标。衍生指标是指对原子指标进行维度修饰产生。【一线客服近三个月在线聊天数量】指标体系指标体系包括基本信息、维度信息、关联信息、配置信息、状态信息、应用信息、运营信息等7个方面,涵盖了指标的基础属性、全生命周期状态、血缘关系等信息。每个指标具有明确的定义、计算公式和一组维度属性。指标框架为实现客户服务目标,需要建立一个客户服务评价指标框架,在管理目标指导下,合理的设计评价指标的框架结构和指标体系内容。在指标框架中所采用的指标应全面、系统,力求客观反应客户服务过程的状况。从指标到报表指标是存在于报表当中用于衡量目标的方法,指标和维度组成了图表,又由图表组成了复杂报表。报表分为计算报表、聚合报表、填报报表、灵活报表和指标看板五类。指标框架管理意义原子指标指标体系衍生指标报表呈现管理报表业务报表报表报表报表计算报表指标看板聚合报表灵活报表填报报表报表类型指标&报表的概念及体系化思考指标背后的管理意义指标体系定义的要求建立指标框架指标体系定义要求完整性准确性唯一性规范性管理目的改进洞察考核明确目标对于指标名称、编码、释义等基本信息进行统一规范;对于关联指标、关联报表等关联信息进行梳理,厘清血缘,避免“口径不一”问题;对于指标状态、生产方式、数据来源等状态信息进行实时记录,避免指标“数出多源”问题;对于服务调用、体系调用、报表应用等应用信息进行监测分析,提升指标数据服务能力。指标是手段,不是目的;管理者从管理角度出发,设立各种指标,使其成为观察业务态势的窗口;脱离管理目的而设立指标,没有意义,随意的更改指标,更加荒谬完整性:指标的信息应该避免缺项,保证内容完整唯一性:保证指标选取的全面,避免指标之间重复准确性:每项指标都必须准确体现业务需求,能够科学的反映评价的某一方面信息规范性:指标的数据定义标准要有明确的要求指标&报表体系:指标的维度和视角业务环节报表:细化到服务环节的各个阶段关注点不同,如机器人服务环节最关注命中率;呼叫中心最关注有效接通率;在线聊天则关注同时服务通道数量;远程服务则关注问题解决率;对于工单,往往更关注SLA等协同相关的指标专项维度报表:从不同角度看报表:产品及方案、团队、专项(投诉内容)针对管理视角最关注的服务中的焦点问题进行针对性的监测和考评。如投诉,是最必须关注的一个维度时间维度报表:通过不同时间段的指标对比,可以对客户服务全过程的横向对比,明确服务团队的业务趋势,为管理指明准确发力点备注:具体的报表设计范例以及更详细的咨询可联系金万维获得数字化:形成闭环的、不断优化的服务业务运营模式数字化的特征之一,是管理者依据理性数据而非感性直觉做出管理决策。体系化的指标与报表,给软件企业的服务运营穿上了遍布传感器的铠甲,助力其实现闭环的,不断优化的数字化服务运营。流程A活动1流程体系活动2活动3部门1流程体系部门2部门3业务数据 系统支撑业务指标指标体系指标体系报表体系报表体系报表重构优化 服务管理部门管理目标指标 报表业务 数据业务PART/06关注焦点问题焦点列表对投诉的极度重视详细的业务多级级联分类多维度统计分析与服务旁路,直达高层SLA的硬性要求与软性实现服务产品化的必经之路事前事中事后的SLA不同策略研发驱动VS服务驱动的SLA对策集团公司的客户服务模式建立共享、有序的分工协作服务集群从业务和技术角度进行服务体系管理统筹规划、重点突破、分步实施客户服务领域的业技融合业技融合服务管理部门IT统筹而诞生的中台策略数据洞察推动服务业务管理升级IT新技术驱动客户服务上新台阶云计算技术大数据技术人工智能技术DevOps技术新技术应用的精细化信息化-数字化-数智化呼叫与在线追求智能化工单追求流程化与规范化理性追逐数智化对投诉的极度重视:投诉内容分类和多维度分析对投诉细分类,除服务本身,还反映产品及方案等直接交付物的各个方面的质量投诉部门往往与直接的客户服务部门管理上平级,具有直达管理层的特殊渠道SLA的硬性要求与软性实现:服务产品化的必由之路服务产品化的关键要素:服务目录,为终端用户清晰地定义了所提供的服务,通常包括以下信息:服务范畴服务描述服务可用性特定于某服务的SLA服务所有者服务费用产品服务(产品型服务)客户(潜在的、VIP的)SLA是服务产品化的必须要素之一,也是一个与ITIL紧密相关的概念1、SLA是在一定成本控制下,为保障IT服务的性能和可靠性,服务供方与客户间定义的一种双方认可的决定,是OLA和UC制定的依据。一个完整的SLA也是一个合法的文档,包括涉及的当事人、协定条款、违约的处罚、费用和仲裁机构、政策、修改条款、报告形式和双方的义务等;2、OLA则是服务方内部制定的后台协议,OLA依据SLA制定3、支持合同UC是服务方与被服务方之间签订的有关服务实施的正式合同,一般作为客户合同主体的附件提供。SLA不具备法律效力,UC具备服务级别协议运营级别协议支持合同服务组合服务目录技术服务目录业务服务目录SLMUCSLA对外承诺OLA服务提供者内部SLA的硬性要求与软性实现:SLA需灵活应用1、区分响应SLA和解决SLA,且不要在所有环节都强调硬性的SLA服务系统的SLA制度,适合管理确定性的、有明确解决之道的问题,这类问题适合由服务驱动一些服务问题究其根源,可能是涉及到核心技术难关,难以确定有效SLA时限,就该收手,挂起或终结涉及研发的管理,有内驱因素,由专有的研发管理系统去跟踪管理更合适服务系统与研发管理系统做系统对接,是一个好的实践套路。2、服务水平的三种场景的落地事前预警:利用硬性的SLA设置,设置超时报警通知事中监测:可利用工单视图来实现SLA维度的事中管理和监测事后追溯:利用报表来进行阶段性SLA总结服务质量事前预警事中监测事后追溯柔性SLA管理实现研发参与的客户服务质量目标服务管理研发管理客户服务领域的业技融合:业务与IT融合促成服务目标对于大型组织,普遍面临着业务和IT合作的两层皮现象,这种现象源自于战略层面的不对齐,不能归结于简单的速度和效率问题。在业务和科技专业部门设置的组织架构下,不可否认的是企业数字化战略会被两个部门分别解读,从各自的专业立场制定战略的执行。市场情况的快速变化在这样的部门设置下很容易形成专业之间解读的不一致,从而造成持续增强的摩擦。一个好的实践是设立BPIT(Business Process Information Technology)部门,业务管理人员与技术管理人员共同参与客户服务体系的规划和建设,将公司业务转型和IT系统建设进行统筹考虑。业务体系 业务组IT组数据组BPIT信息技术体系 客户服务系统建设 性能需求功能需求管理需求架构需求服务架构 业务视角业务架构运营模式业务流程组织结构地域分布技术视角IT架构数据架构应用架构技术架构管理架构服务战略 业务战略IT战略集团公司的客户服务模式:服务组织架构与服务业务布局我们倡导建立以集团本部为主导的,各分子公司为独立单元的集群化的客户服务集群系统:总部分子公司分子公司分子公司分子公司我国软件企业客户服务体系的规范化已经进入发展快车道,特别的,对于集团型软件企业来说,由于其业务单元众多,组织流程更加复杂,已有IT应用林林总总,业务与技术的融合差异较大,因此其客户服务体系在构建之初,更需要系统性的统筹规划,高屋建瓴且脚踏实地的完成服务模式最佳实践的探索。集团总部服务管理:定义服务规范、定义服务考核.主要的客户服务入口运维管理:为所有服务系统提供IT运维技术支撑建设统一的客户服务IT支撑平台或为各分子公司提供IT技术中台支撑各分子公司从业务角度建设独立客户服务平台处理各自专业领域的客户服务业务数据可与总部相通工单可与总部相通知识可与总部相通各自独立的客户服务系统对等互通的客户服务系统主从式的客户服务群体服务集群共享协同有序分工PART/07大语言模型在帮我吧智能客服场景应用大语言模型(英文:Large Language Model,缩写LLM),也称大型语言模型,是一种人工智能模型,旨在理解和生成人类语言。它们在大量的文本数据上进行训练,可以执行广泛的任务,包括文本总结、翻译、情感分析等等。LLM的特点是规模庞大,包含数十亿的参数,帮助它们学习语言数据中的复杂模式。这些模型通常基于深度学习transformer架构,使其在各种NLP任务上取得令人印象深刻的表现。典型的代表就是openAI公司推出的chatGPT。大语言模型LLM概述01大语言模型LLM列表02国内主要大语言模型LLM03序号公司大模型省市类别官网说明1百度文心一言北京通用有APP2智谱华章清言北京通用3百川智能百川北京通用4阿里云通义千问浙江杭州通用有 APP,开 源 模 型 ChatGLM3-6B,ChatGLM-6B 和ChatGLM2-6B开 源 小 模 型 baichuan-7B 和Baichuan-13B,baichuan-2开源模型Qwen-1.8B,7B,14B,72B、Qwen-VL和 QwenAudio*只展示主流大模型,排名不分先后,更多参考:https:/ https:/现在在哪应该做什么应该怎么做调研成果咨询建议:需求调研解决方案系统实施系统交付系统建议:

    浏览量55人已浏览 发布时间2024-05-16 57页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 湖南大学:非洲数字经济发展指数与中非数字经济合作报告(2024)(96页).pdf

    -1-2-3-4-5-6-7-8-9-10-11-12-13-14-15-16-17-18-19-20-21-22-23-24-25-26-27-28-29-30-31-32-33-34-35-36-37-38-39-40-41-42-43-44-45-46-47-48-49-50-51-52-53-54-55-56-57-58-59-60-61-62-63-64-65-66-67-68-69-70-71-72-73-74-75-76-77-78-79-80-81-82-83-84-85-86-87-88-89-90-

    浏览量28人已浏览 发布时间2024-05-16 96页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 绿盟科技:守初心 创新质——网络安全报告2024(115页).pdf

    网络安全2024-守初心 创新质绿盟版3-13排版.indd 1网络安全2024-守初心 创新质绿盟版3-13排版.indd 12024/5/8 17:42:522024/5/8 17:42:52绿盟科技集团股份有限公司(以下简称绿盟科技),成立于 2000 年 4 月,总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所创业板上市,证券代码:300369。绿盟科技在国内设有50 余个分支机构,为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户,提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处,深入开展全球业务,打造全球网络安全行业的中国品牌。版权声明为避免合作伙伴及客户数据泄露,所有数据在进行分析前都已经 过匿名化处理,不会在中间环节出现泄露,任何与客户有关的具体信息,均不会出现在本报告中。网络安全2024-守初心 创新质绿盟版3-13排版.indd 2网络安全2024-守初心 创新质绿盟版3-13排版.indd 22024/5/8 17:42:522024/5/8 17:42:52卷首语2023 年是全面落实党的二十大精神开局之年,也是国家“十四五”规划实施承前启后的重要一年。一年中,国家持续深化网络安全能力和体系建设,制定发布了多项网络安全法规和政策,推动我国网络安全能力和体系的持续完善。尤其重要的是,习近平总书记通过全国网络安全和信息化工作会议对网络安全工作作出了重要指示,进一步明确了国家网络安全行业发展的思路、模式和方向。在发展思路上,就是要“坚持统筹发展和安全”,确立以“总体国家安全观”为引领的网络安全企业发展思路;在发展模式上,就是要“构建大网络安全工作格局”,建设开放协同的网络安全企业发展模式;在发展方向上,就是要“坚持筑牢国家网络安全屏障”,以持续创新全面提升网络安全服务供给能力。回顾过去的一年,“新质生产力”、“数据要素 X”、“人工智能大模型”、“产业链供应链韧性”等,成为国内外网络安全领域的高频热词,也同样成为引领网络安全行业发展新的“风口”。探究其背后的产业发展规律,则是网络安全的转型升级、新技术要素赋能、业务驱动融合等趋势正在加速发展布局。作为深耕网络安全产业前沿的一分子,我们密切关注国内外网络安全发展态势,并积极赋能网络安全供给侧创新研发。为此,我们依托自身研究队伍积淀,结合持续热点跟踪,将核心研究成果集结成册,形成本报告。网络安全2024-守初心 创新质绿盟版3-13排版.indd 3网络安全2024-守初心 创新质绿盟版3-13排版.indd 32024/5/8 17:42:522024/5/8 17:42:52CONTENTS本报告包括三个篇章,即:法规政策篇、安全态势篇、新技术发展篇,筛选汇聚了我司本年度在网络安全跟踪研究中的核心研究成果。其中,法规政策篇重点梳理选编了本年度国内外网络安全相关重点法规政策并做分析;安全态势篇重点梳理分析了我国网络安全热点领域的态势和特点;新技术发展篇重点梳理分析了网络安全相关新兴技术及应用的现状、痛点和发展走势等。辞旧迎新之际,寄望本报告能为支撑国家网络安全主管部门决策略尽绵薄。并期待依托我司技术产品和服务,秉承“专攻术业,成就所托”的宗旨,全力服务于国家“高质量发展和高水平安全良性互动”战略目标的实现,并为全面加强国家网络安全保障体系和能力持续贡献力量。绿盟科技集团董事长兼总裁 2024年 4 月 网络安全2024-守初心 创新质绿盟版3-13排版.indd 4网络安全2024-守初心 创新质绿盟版3-13排版.indd 42024/5/8 17:42:532024/5/8 17:42:53CONTENTS重要观点00101法规政策篇0051.1习近平总书记对网络安全和信息化工作作出重要指示0061.2国家市场监管总局等四部门联合印发关于开展网络安全服务认证工作的实施意见0071.3关于做好商用密码检测机构管理办法和商用密码应用安全性评估管理办法实施工作的公告 0071.4工信部、国家金融监管总局联合印发关于促进网络安全保险规范健康发展的意见0081.5工业和信息化部、国家互联网信息办公室等十六部门联合印发关于促进数据安全产业发展的指导意见0091.6国家数据局等部门发布“数据要素”三年行动计划(20242026 年)0101.7国家互联网信息办公室发布个人信息出境标准合同备案指南(第一版)0111.8国家互联网信息办公室就个人信息保护合规审计管理办法(征求意见稿)公开征求意见0111.9国家互联网信息办公室等七部门联合印发生成式人工智能服务管理暂行办法0121.10美国白宫发布国家网络安全战略0131.11欧盟网络安全条例正式生效(CybersecurityRegulation)Regulation(EU)2023/28410141.12美国国会通过2024 财年国防授权法案(NationalDefenseAuthorizationActforFiscalYear2024)014网络安全2024-守初心 创新质绿盟版3-13排版.indd 5网络安全2024-守初心 创新质绿盟版3-13排版.indd 52024/5/8 17:42:532024/5/8 17:42:53CONTENTS02安全态势篇0162.1网络资产暴露情况0172.2高风险主机0212.3恶意 IP 态势0242.4IPv6 安全态势0272.5暗网态势0302.6恶意软件威胁态势0362.7APT 攻击态势04303新技术发展篇0503.1大模型安全0513.2攻击面管理0643.3内幕风险管理0673.4数据安全0743.5供应链安全0853.6工业互联网安全0913.7车联网安全09804总结108网络安全2024-守初心 创新质绿盟版3-13排版.indd 6网络安全2024-守初心 创新质绿盟版3-13排版.indd 62024/5/8 17:42:532024/5/8 17:42:53001重要观点重要观点本年度政策法规主要涉及网络安全、数据安全、个人信息保护、技术发展与治理等四个大方向。网络安全方向的法规政策,主要涵盖战略规划、关键基础设施保护、供应链安全、密码应用、行业监管机制、重点领域应用、人才资金保障等。数据安全方向的法规政策,主要涵盖数据安全产业规划、战略衔接、数据跨境安全、行业数据安全监管、数据基础制度、数据安全共享机制等。个人信息保护方向的法规政策,主要涵盖个人信息出境管理、个人信息审计机制、特殊群体保护、区域性个人信息跨境共享机制等。技术发展与治理方向的法规政策,主要涵盖生成式人工智能、人脸识别技术、5G 融合应用、零信任、后量子密码、软件供应链等。观点 2:网络资产暴露2023 年,我国在互联网上暴露的网络资产数量庞大,主要涉及物联网资产、工业控制系统和安全设备,经济发达地区暴露数量较多。暴露的大量设备容易被不法分子攻击利用并造成经济损失,甚至危害国家安全。观点 3:高风险主机2023 年,我国开放的高风险端口资产数量庞大。这些高风险服务端口在互联网上暴露,会降低系统的安全性,给黑客以可乘之机。观点 4:暗网态势2023 年通过暗网监测显示,我国数据泄露情况令人担忧,公民个人隐私安全面临较高风险。泄露数据量大,涵盖金融、电商、教育、医疗、能源、政府等多个行业,涉及到日常工作生活的方方面面,数据泄露治理需求强烈。观点 1:法规政策网络安全2024-守初心 创新质绿盟版3-13排版.indd 1网络安全2024-守初心 创新质绿盟版3-13排版.indd 12024/5/8 17:42:532024/5/8 17:42:53002网络安全 2024:守初心 创新质观点 5:恶意软件威胁态势尽管执法机构已加大打击力度,但知名恶意软件衍生家族的持续涌现,特别是在勒索软件领域,这一现象尤为突出。同时,僵尸网络、挖矿木马、窃密木马等相对威胁程度较低的恶意软件家族也保持持续活跃状态,对网络安全构成持续威胁。因此,治理工作仍需加大投入,以应对当前严峻的网络安全形势。观点 6:APT 攻击态势缘政治紧张局势不断升级,高级持续性威胁(APT)组织的活动频率呈显著增长趋势。针对我国的 APT 攻击活动相较以往更为猛烈,对抗的激烈程度迅速提升。这些 APT 组织将僵尸网络与勒索软件相结合,巧妙地隐藏攻击痕迹于常规攻击活动中,使其隐匿性进一步增强。近两年来,APT 组织针对网络边界设备的攻击已成为主流手段,必须加强对边界设备自身安全性的重视与关注。观点 7:大模型安全2023 年,大模型的发展尚不成熟,面临着诸多隐患与风险。随着深度学习技术的发展和相关安全研究的深入,以大模型为目标的攻击会朝着更为高效、轻量级的方向发展,对实际部署和应用中的大模型造成威胁。同时,随着大模型能力的提升和应用的扩展,潜在的安全漏洞和隐患会引发更大范围和更为严重的后果。观点 8:攻击面管理随着企业数字化转型的推进,加之网络攻击技术不断演进,如 APT(高级持续性威胁)、勒索软件、供应链攻击等新型的威胁层出不穷,使得企业攻击面不断扩大、难以有效管理。因此,结合国内外安全现状,传统的网络安全防御手段难以完全应对这些新型威胁,防守方需要采用新的方法来可视化和评估组织的攻击面。网络安全2024-守初心 创新质绿盟版3-13排版.indd 2网络安全2024-守初心 创新质绿盟版3-13排版.indd 22024/5/8 17:42:542024/5/8 17:42:54003重要观点观点 9:内幕风险管理近些年的观察中发现,大量安全事件由组织机构内部人员引发,由此产生了内幕风险的概念。内幕风险管理不同于内部威胁管理,会同时关注内部的恶意人员和非恶意人员,以“人因”为要素进行关键安全管理,保障组织机构安全。内幕风险正受到越来越多的关注,数字与智能化发展于未来三年不断推升内幕风险管理需求,并将其逐步纳入组织机构常态化安管范围。观点 10:数据安全2023 年,数据安全成为热点话题之一。全球数据安全事件频发,云场景下数据安全风险大幅增长,供应链攻击严重威胁数据安全;数据安全领域政策密集推出,重点关注数据跨境传输、数据互联互通与数据交易;数据要素市场规模不断扩大,信创产品需求旺盛。两项热点技术中,机密计算百花齐放,安全多方计算也得到了重视,但二者仍存在较大的改进空间。观点 11:供应链安全我国的软件产品面临着漏洞后门、开源协议、出口管制等多种供应链攻击风险。同时存在着,透明度不足、供应链管理水平参差不齐、缺乏统一的软件供应链管理标准及机制等问题。从软件开发者、使用者以及管理机构的角度来看,软件供应链的各个环节均存在着巨大的安全隐患。供应链安全处理难度高,需要通过制度与能力的建设来控制风险,保护信息化系统的平稳运行。网络安全2024-守初心 创新质绿盟版3-13排版.indd 3网络安全2024-守初心 创新质绿盟版3-13排版.indd 32024/5/8 17:42:542024/5/8 17:42:54004网络安全 2024:守初心 创新质观点 12:工业互联网安全工业互联网安全产业正在经历快速增长和变革,定制化的安全产品和服务正在获得更多的关注,因为它们能够将信息安全元素与业务深度融合,满足不同行业的个性化需求。此外,数据安全也被视为工业互联网安全的重要一环,未来将成为安全关注的重点。工业互联网已经成为现代战争的首要攻击目标,随着 5G、物联网、云计算等技术的发展,工业互联网的边界变得越来越模糊,边缘设备成为新的攻击入口点,必须加强对边缘设备的安全防护。观点 13:车联网安全汽车智能网联功能越来越普及,随之也带来了更多的安全风险,相关的系统漏洞和数据泄露事件被频繁披露。未来,自动驾驶和车路协同的落地后,会扩大车内和路边设备的漏洞风险面至车路协同的网络之中。汽车、车主个人信息和轨迹,是未来几年内汽车黑客的重要目标。车联网数据安全是实现车联网数据运营的前提保障,而汽车虚拟化或可成为未来车联网安全的重点研究方向之一。网络安全2024-守初心 创新质绿盟版3-13排版.indd 4网络安全2024-守初心 创新质绿盟版3-13排版.indd 42024/5/8 17:42:552024/5/8 17:42:5501法规政策篇网络安全2024-守初心 创新质绿盟版3-13排版.indd 5网络安全2024-守初心 创新质绿盟版3-13排版.indd 52024/5/8 17:42:552024/5/8 17:42:55006网络安全 2024:守初心 创新质2023 年国家持续深化网络安全能力和体系建设,制定发布了多项网络安全法规和政策,推动我国网络安全法治体系的持续完善。我们结合日常研究,选编 2023 年以来国内外发布的部分网络安全重点法规政策加以分析解读,以期与业界同仁一道学习探究网络安全领域的发展导向。1.1 习近平总书记对网络安全和信息化工作作出重要指示2023 年 7 月 14 日,全国网络安全和信息化工作会议在京召开。会议传达了习近平总书记近日对网络安全和信息化工作的重要指示,强调深入贯彻党中央关于网络强国的重要思想,大力推动网信事业高质量发展。习近平总书记重要指示重点提出网信工作“十个坚持”原则。一是坚持党管互联网;二是坚持网信为民;三是坚持走中国特色治网之道;四是坚持统筹发展和安全;五是坚持正能量是总要求、管得住是硬道理、用得好是真本事;六是坚持筑牢国家网络安全屏障;七是坚持发挥信息化驱动引领作用;八是坚持依法管网、依法办网、依法上网;九是坚持推动构建网络空间命运共同体;十是坚持建设忠诚干净担当的网信工作队伍。【原文链接】http:/ 创新质绿盟版3-13排版.indd 6网络安全2024-守初心 创新质绿盟版3-13排版.indd 62024/5/8 17:42:552024/5/8 17:42:55007法规政策篇1.2 国家市场监管总局等四部门联合印发关于开展网络安全服务认证工作的实施意见2023 年 3 月 28 日,国家市场监督管理总局、中央网络安全和信息化委员会办公室、工业和信息化部以及公安部四部门发布 关于开展网络安全服务认证工作的实施意见(简称 实施意见)。实施意见旨在推进网络安全服务认证体系建设,提升网络安全服务机构能力水平和服务质量。【原文链接】https:/ 实施意见 对于进一步推动网络安全服务认证工作的体系化、规范化和有序化发展,对完善我国网络安全认证体系具有现实意义。一是立足解决当前网络安全服务机构面临的重复认证等问题,推动网络安全服务认证的一体化发展;二是推进完善、优化网络安全服务认证体系,明确提出建立“网络安全服务认证目录”、组建“网络安全服务认证技术委员会”等制度安排;三是实现政策间的衔接,例如实施意见将等级保护测评纳入认证目录,与此前发布的检验机构能力认可准则在网络安全等级测评领域的应用说明等制度设计保持一致。对于网络安全行业而言,“网络安全服务认证目录”等制度值得持续关注。如新的网络安全服务认证涉及哪些服务类别?现有的网络安全服务认证资质在申请流程等方面是否有变化?都与业务开展密切相关。1.3 关于做好商用密码检测机构管理办法和商用密码应用安全性评估管理办法实施工作的公告2023 年 10 月 31 日国家密码管理局发布。商用密码检测机构管理办法和商用密码应用安全性评估管理办法于 2023 年 11 月 1 日起正式施行。公告提出两项具体要求:一是按照商用密码检测机构管理办法有关规定,受理商用密码检测机构资质申请。二是按照商用密码检测机构管理办法有关规定,对提交申请的商用密码应用安全性评估试点机构依法实施资质认定后,商用密码应用安全性评估试点工作将正式结束。此外,公告还附有“商用密码检测机构资质申请表”文件。网络安全2024-守初心 创新质绿盟版3-13排版.indd 7网络安全2024-守初心 创新质绿盟版3-13排版.indd 72024/5/8 17:42:562024/5/8 17:42:56008网络安全 2024:守初心 创新质【原文链接】http:/ 2007 年提出,经过十余年积累,密评制度体系不断成熟。有两点值得特别关注。一是密评的范围进一步扩大,从商密条例的特定“关键信息基础设施运营者”,到商用密码应用安全性评估管理办法“使用商用密码技术、产品和服务的网络与信息系统”。二是密评机构开启统筹管理模式,将商用密码产品检测和密评机构工作纳入统一管理,改变此前相互分立管理的工作模式,并结束了 48 家试点机构“试点”状态(2021 年 6 月,国家密码管理局更新了商用密码应用安全性评估试点机构目录,共计 48 家机构),统一按照新规则进行重新认定。1.4 工信部、国家金融监管总局联合印发关于促进网络安全保险规范健康发展的意见2023 年 7 月 17 日,工业和信息化部、国家金融监督管理总局联合发布关于促进网络安全保险规范健康发展的意见(以下简称意见)。意见旨在引导网络安全保险健康有序发展,培育网络安全保险新业态。意见围绕完善政策标准、创新产品服务、强化技术支持、促进需求释放、培育产业生态等提出 5 方面 10 条意见。【原文链接】https:/ 创新质绿盟版3-13排版.indd 8网络安全2024-守初心 创新质绿盟版3-13排版.indd 82024/5/8 17:42:562024/5/8 17:42:56009法规政策篇意见对外整合资源,明确网络安全保险行业的建设发展模式。一是引导技术赋能,包括网络安全风险评估技术和网络安全风险监测技术;二是强化市场培育,包括行业级市场和企业级市场;三是注重生态发展,包括塑造生态链关键主体和培育生态链关键机制等。对网络安全行业来说,意见的发布,无疑将为网络安全产业发展带来新机遇。一是为网络安全企业提供一种新的抗风险方案。按照意见的制度设计,网络安全保险将逐步健全覆盖技术开发和创新风险,以风险转移和社会化的方式,有助于拓展企业的抵御风险机制。二是为网络安全企业提供新的市场机遇。网络安全保险模型开发、风险评估工具开发、风险评估服务技术支撑等,都是网络安全产业较为直接的市场驱动因素。此外,由网络安全保险政策标准制订、生态机制建设等带来的衍生类市场需求,如咨询规划、方案设计等服务,也会带来一定规模的市场驱动力。1.5 工业和信息化部、国家互联网信息办公室等十六部门联合印发关于促进数据安全产业发展的指导意见2023 年 1 月 13 日,工业和信息化部、国家互联网信息办公室等十六部门联合印发关于促进数据安全产业发展的指导意见(以下简称指导意见),旨在推动数据安全产业高质量发展,提高各行业各领域数据安全保障能力,加速数据要素市场培育和价值释放。指导意见提出了促进数据安全产业发展的九个方面、十九条具体指导意见,明确了以下两方面内容。【原文链接】http:/ 2025 年实现 1500 亿元、复合增长率 30%的发展目标。另一方面,指导意见进一步阐明了如何构建数据安全产业体系和能力的问题。一是明确了数据安全产业的基本体系。指导意见提出了数据安全产业发展的七大项重点任务,其中前四项任务(创新、服务、标准、应用)侧重于产业体系的构建。二是明确了数据安全产网络安全2024-守初心 创新质绿盟版3-13排版.indd 9网络安全2024-守初心 创新质绿盟版3-13排版.indd 92024/5/8 17:42:562024/5/8 17:42:56010网络安全 2024:守初心 创新质业的发展要素。指导意见提出的数据安全产业发展七项重点任务的后三项,即产业生态、人才资源、国际合作,则是侧重于从要素层面布局推进数据安全产业的发展。对行业来说,可重点关注三方面。一是强化产品创新,结合指导意见明确的创新需求,重点围绕新计算模式、新网络架构和新应用场景等数据安全需求加强创新,持续完善行业数据安全技术产品体系。二是强化服务创新,结合指导意见提出的数据安全服务需求,重点强化规划咨询、建设运维、检测评估与认证、权益保护、违约鉴定等服务。三是强化基础要素保障,拓展行业现有产学研用合作攻关平台建设、加大数据安全实战人才培养和选拔等。1.6 国家数据局等部门发布“数据要素”三年行动计划(20242026 年)国家数据局等部门于2024年1月4日联合发布了 “数据要素”三年行动计划(20242026 年)。该行动计划以推动数据要素高水平应用为主线,重点在于推进数据要素协同优化、复用增效和融合创新的作用发挥,同时强调了强化场景需求引导,促进数据要素的高质量供给和合规高效流通,培育新产业、新模式和新动能,最终实现数据要素的价值,为推动高质量发展和中国式现代化提供有力支撑。该行动计划坚持需求牵引、注重实效,试点先行、重点突破,以有效市场、有为政府,开放融合和安全有序为基本原则,同时明确了截至 2026年底的工作目标。该计划选取了 12 个行业和领域,包括工业制造、现代农业、商贸流通、交通运输、金融服务、科技创新、文化旅游、医疗健康、应急管理、气象服务、城市治理和绿色低碳等,旨在推动数据要素的乘数效应,释放数据要素的价值。此外,该行动计划从提升数据供给水平、优化数据流通环境和加强数据安全保障等三个方面强化了保障支撑。【原文链接】https:/ 2023 年 12 月 16 日发布行动计划(征求意见稿),开展了为期 7天的公开面向社会征求意见。本次发布为正式稿。总体比较来看,在基本框架、内容体系等方面无太大变化。就数据安全相关内容而言,在整个行动计划中依然是“保障支撑”的基本定位,内容也保持了“落实制度”、“丰富产品”、“培育服务”三个要点。与征求意见稿相比,具体修改主要有两处。一是在“落实制度”具体内容中删除了“建网络安全2024-守初心 创新质绿盟版3-13排版.indd 10网络安全2024-守初心 创新质绿盟版3-13排版.indd 102024/5/8 17:42:562024/5/8 17:42:56011法规政策篇立健全数据安全治理体系”,或体现了当前更加注重强调法规政策的延续和稳定性,而不过分追求制度的“立新”。二是在“培育服务”中,将原来的“鼓励有实力的数据安全企业,发挥能力优势”改为“鼓励数据安全企业”,在培育对象的范围方面比以前更加扩大,或反映了监管方在培育数据要素安全服务方面的思路由示范引导到普适支持的调整变化。1.7 国家互联网信息办公室发布个人信息出境标准合同备案指南(第一版)2023 年 5 月 30 日,国家互联网信息办公室发布个人信息出境标准合同备案指南(第一版)(以下简称备案指南)。备案指南旨在落实个人信息出境标准合同办法,指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同。备案指南对个人信息出境标准合同适用范围、备案方式和备案流程等具体要求作出了明确。【原文链接】http:/ 国家互联网信息办公室就个人信息保护合规审计管理办法(征求意见稿)公开征求意见2023 年 8 月 3 日,国家互联网信息办公室就个人信息保护合规审计管理办法(征求意见稿)(以下简称征求意见稿)公开征求意见。征求意见稿旨在规范个人信息保网络安全2024-守初心 创新质绿盟版3-13排版.indd 11网络安全2024-守初心 创新质绿盟版3-13排版.indd 112024/5/8 17:42:562024/5/8 17:42:56012网络安全 2024:守初心 创新质护合规审计活动,提高个人信息处理活动合规水平,并以附件的形式提出个人信息保护合规审计参考要点。【原文链接】http:/ 征求意见稿 所规范的“个人信息保护审计”更加侧重于对个人信息保护的事前防范,强调个人信息处理者的常态化合规。征求意见稿法律依据为个人信息保护法第五十四条:“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”,旨在建立健全我国个人信息保护合规审计制度。对于个人信息处理者以及第三方专业机构开展个人信息合规审计工作具有重要实践意义。目前,个人信息保护合规审计管理办法(征求意见稿)尚处于征求意见阶段,对网络安全行业来说,可重点关注以下两点。一是,关注后续相关政策的更新与落实,如个人信息保护合规审计相关标准、个人信息保护合规审计专业机构管理政策,以及与个人信息保护影响评估等制度的衔接等。二是,关注新的市场机会点,如服务于个人信息处理者的个人信息保护合规审计咨询、教育和培训服务等;服务于个人信息保护合规审计专业机构的技术产品、解决方案等。1.9 国家互联网信息办公室等七部门联合印发生成式人工智能服务管理暂行办法2023年7月13日,国家互联网信息办公室、国家发展和改革委员会、教育部、科学技术部、工业和信息化部、公安部、国家广播电视总局七部门联合发布生成式人工智能服务管理暂行办法(以下简称办法),自 2023 年 8 月 15 日起开始施行。办法共 5 章 24 条,旨在促进生成式人工智能健康发展和规范应用。【原文链接】http:/ 创新质绿盟版3-13排版.indd 12网络安全2024-守初心 创新质绿盟版3-13排版.indd 122024/5/8 17:42:562024/5/8 17:42:56013法规政策篇【观点解读】当前,生成式人工智能(GAI)面临着数据、算法和算力方面的安全风险。在数据方面,主要涉及数据质量、保护机制和真实性问题;在算法方面,主要是认知安全问题;在算力方面,主要有成本和生态问题。办法是国内外为数不多的正式实施的生成式人工智能管理制度之一,为这一领域的发展提供了重要范例。从网络安全产业发展来看,办法 的施行将产生积极影响。一是安全需求的明确,将给网络安全相关产业带来增量市场机会。如对于训练数据的合规和安全评估、服务提供过程中的数据和个人信息保护、监督检查过程中的安全技术支持、安全可信相关配套等等。二是对于发展要素的培育强化,将为网络安全产业的技术创新赋能。如“公共训练数据资源平台”、“人工智能基础设施”等算力和数据要素,将极大缓解企业在生成式人工智能开发过程中的能力短板;生成式人工智能生态体系的构建,也将为企业的生成式人工智能开发注入新的活力。从制度的健全完善角度来看,以下几个问题或许值得进一步完善和细化。一是法规的体系化方面,除办法外,涉及生成式人工智能技术管理相关的规定还有互联网信息服务深度合成管理规定、互联网信息服务算法推荐管理规定等,不同规定之间的竞合问题需要进一步梳理完善,且作为总体性规范的 互联网信息服务管理办法 也亟需加快推进修订。二是在监督检查机制方面,办法提出了不同部门按照职责开展检查的机制,对于不同部门之间的监督检查如何协调统筹,也有待进一步细化。1.10 美国白宫发布国家网络安全战略2023年3月2日,美国白宫发布 国家网络安全战略(National Cybersecurity Strategy)(以下简称 2023 版战略)。2023 版战略详细阐述了拜登政府对于美国网络安全的顶层规划和全面部署,旨在建立一个“可防御、有弹性的数字生态系统”。【原文链接】https:/www.whitehouse.gov/briefing-room/statements-releases/2023/03/02/fact-sheet-biden-harris-administration-announces-national-cybersecurity-strategy/【观点解读】2023 版战略体现了以下四个方面的特点。第一,作为美国网络安全战略的重要组成部分,该版本完善了美国网络安全治理体系,承前启后,推进了网络安全战略思路。第二,持续强化了重点领域的战略投资举措,并特别强调了“投资和建设未来的数字生态系统”。网络安全2024-守初心 创新质绿盟版3-13排版.indd 13网络安全2024-守初心 创新质绿盟版3-13排版.indd 132024/5/8 17:42:572024/5/8 17:42:57014网络安全 2024:守初心 创新质第三,通过联合手段逐步增强了网络安全联盟生态。第四,优化了网络安全监管原则,压实了企业的主体责任。2023 版战略提出的建设内容反映了拜登政府下一步网络安全治理思路。一是进一步强化“以攻为守”的网络安全策略,后续或将对美国网络安全的监管方式、合作路径等方面产生影响;二是带动网络安全市场发展,如零信任、量子计算等相关技术和信息基础设施、半导体供应链等应用场景;三是对产业、外交等领域的溢出效应将持续显现,影响网络空间生态、地域联盟等的发展。1.11 欧盟网络安全条例正式生效(Cybersecurity Regulation)Regulation(EU)2023/28412024 年1月8日,欧盟理事会发布了一项 条例,规定了欧盟内部实体的网络安全风险管理、治理和控制框架的具体措施。此外,欧盟将成立一个新的机构间网络安全委员会(IICB),并授权该条例为 CERT-EU 提供了扩展的计算机紧急响应小组授权。接下来,欧盟将按照该条例的规定建立内部网络安全治理流程,并逐步实施具体的网络安全风险管理措施,同时推动 IICB尽快成立并投入运营。【原文链接】https:/eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202302841【观点解读】欧盟网络安全条例与欧盟网络安全法(Regulation(EU)2019/881)、全欧盟网络与信息安全指令(NIS2 指令)、欧盟信息安全条例等一起构成了欧盟网络安全法律法规框架。这些法规在效力层级和网络安全规定方面各有不同的重点。欧盟网络安全条例共分为 6 章 26 条,主要规定了欧盟网络安全的普适性措施、机构间网络安全委员会(IICB)的职责、CERT-EU 机构的职责、信息共享机制等内容。特别值得注意的是,该条例对 CERT-EU 的职能进行了扩展,将其定位为服务欧盟机构、团体的“网络安全服务中心”(Cybersecurity Service for the Union institutions,bodies,offices and agencies),并大幅增加了CERT-EU 相关的服务项目授权条款,例如授权其有偿开展网络安全广谱监测、漏洞扫描服务等。1.12 美国国会通过2024 财年国防授权法案(National 网络安全2024-守初心 创新质绿盟版3-13排版.indd 14网络安全2024-守初心 创新质绿盟版3-13排版.indd 142024/5/8 17:42:572024/5/8 17:42:57015法规政策篇Defense Authorization Act for Fiscal Year 2024)2023 年 12 月 14 日,美国众议院通过了2024 授权法案。该法案确定了美国在 2024财年国防方面的资金支出计划,并同时明确提出了美国在网络安全、国家安全等重点领域的优先事项。【原文链接】https:/www.armed-services.senate.gov/press-releases/reed-wicker-praise-senate-passage-of-the-fy-2024-national-defense-authorization-act【观点解读】2024 授权法案在网络安全方面的条款包括以下几方面:一是关于网络作战的规定,涵盖了战略网络安全计划及相关事项的协调和澄清。二是关于信息技术和数据管理的规定,包括制订数据链战略相关政策等内容。三是关于网络安全的规定,包括增强核指挥、控制和通信网络的网络安全等内容。四是关于人工智能的规定,包括人工智能漏洞赏金计划等内容。五是关于人员保障的规定,包括开展民用网络安全储备试点计划等内容。2024 授权法案此前已经由参议院投票通过,随后将提交总统签署并正式生效。总预算 8860 亿美元,较 2023 年增加了 280 亿美元,增幅约 3%。据初步统计,其中网络安全预算约为 14.5 亿美元,较 2023 年增长了 14%。这表明,美国网络安全国防预算的增速远高于国防预算总体增速。根据该法案,2024 年美国网络安全国防的主要支出领域包括:网络安全风险和态势感知、信息技术和数据管理、网络战能力、人工智能等。这表明,美国正在大力加强国防网络安全,其中在网络安全投入方面的增长速度远高于国防预算的整体增速。网络安全2024-守初心 创新质绿盟版3-13排版.indd 15网络安全2024-守初心 创新质绿盟版3-13排版.indd 152024/5/8 17:42:572024/5/8 17:42:5702安全态势篇网络安全2024-守初心 创新质绿盟版3-13排版.indd 16网络安全2024-守初心 创新质绿盟版3-13排版.indd 162024/5/8 17:42:572024/5/8 17:42:57017安全态势篇2.1 网络资产暴露情况2.1.1 重要设备资产截至2023年12月31日,全国共暴露重要设备资产数量为15,657,493,包括物联网资产、工业控制系统和安全设备,如图 2.1 所示。暴露总数排名前三的省市分别为北京市、台湾省和广东省,接下来暴露数量比较多的是东南沿海城市和大湾区,如浙江省、香港特别行政区、江苏省、上海市等。其中,物联网资产暴露数量最多,约占总暴露资产的 61.80%,安全设备资产其次,约占总暴露资产的 39.13%;并且北京市暴露资产数量最多,这可能是当地安全设备和物联网资产的总数基数最大,暴露在网上资产最多。工控资产暴露数量靠前的分别是台湾、辽宁和江西。安全设备暴露数量前三的是北京、广东和香港。北京市台湾省广东省浙江省香港特别行政区江苏省上海市四川省山东省河南省安全设备 1543544789933083708744918329758986161481338247511142819物联网2552801029754351123417316189528246835102584210941121661150582工控设备73130110715011621646147150560200,000400,000600,000800,0001,000,0001,200,0001,400,0001,600,0001,800,0002,000,000暴露数量(个)工控设备物联网安全设备图 2.1 全国暴露重要设备资产规模分布省市暴露数量最多的物联网资产依次为摄像头、路由器、NAS、打印机、网络电话(VoIP)、交换机、门禁等。其中,摄像头、路由器和 NAS 是暴露数量最多的物联网资产,占比分别为52.62%、28.44%和 14.27%,如图 2.2 所示。暴露在互联网上的摄像头存在巨大的安全隐患,一旦被黑客控制,可能会造成个人隐私泄露,给用户的隐私安全带来了严重威胁。网络安全2024-守初心 创新质绿盟版3-13排版.indd 17网络安全2024-守初心 创新质绿盟版3-13排版.indd 172024/5/8 17:42:582024/5/8 17:42:58018网络安全 2024:守初心 创新质11716736332123176453126425462216881495333790200000400000600000800000100000012000001400000坐标轴标题图 2.2 暴露物联网资产类型分布2.1.2 重要服务资产互联网上的应用层出不穷,Web 服务、数据库服务和邮件服务应用最为广泛,因此,接下来重点对这三类服务的分布情况进行研究分析。全国范围内,这三类服务最多的省市分别是北京、香港特别行政区和台湾。其中,Web 服务应用最多,占比为 71.67%,应用数量TOP3 的省市分别为北京、香港和广东,如图 2.3 所示。数据库服务和邮件服务应用数量较多的省市分别为北京、广东、上海和浙江。北京市作为向全世界展示我国形象的首要窗口,将建设成为全球数字经济标杆城市,信息化水平处于国内领先地位,三类服务的应用数量排名第一。香港特别行政区有着得天独厚的地理位置,邻近大陆,是大湾区的核心,三类服务的应用排名第二名。广东省是经济最发达的珠三角地区,三类服务的应用排名第三。三类服务的应用数量排名第四到第十名的依次是上海市、浙江省、江苏省、台湾省、四川省、山东省和陕西省,这与数据经济发达程度是相符的。网络安全2024-守初心 创新质绿盟版3-13排版.indd 18网络安全2024-守初心 创新质绿盟版3-13排版.indd 182024/5/8 17:42:582024/5/8 17:42:58019安全态势篇北京市香港特别行政区广东省上海市浙江省江苏省台湾省四川省山东省陕西省Web服务29617433 1254515773068994600204425342229607762731040215800119258591825025数据库服务548324339111244991157061114621420641742641556297875468邮件服务2546406119904297093214379918777163997455698521119219542905000000100000001500000020000000250000003000000035000000暴露数量(个)图 2.3 互联网重要服务分布 TOP10 省市全国暴露在互联网上的数据库服务数量为 1,921,076,如图 2.4 所示,暴露的数据库基本覆盖了常见数据库类型,例如 MySQL、CouchDB、Splunkd、Microsoft SQL Server、Redis 等。数据库服务暴露在互联网上将会带来巨大的安全风险,黑客在获取数据库权限后会进行拖库、洗库等一系列操作,甚至利用这些数据进行勒索,危害极大。因此,应及时关闭非必要开放的数据库服务,及时更新最新版本和安装补丁,对必须开放的数据库服务严格进行访问控制,避免数据库被攻陷后带来的重大影响。网络安全2024-守初心 创新质绿盟版3-13排版.indd 19网络安全2024-守初心 创新质绿盟版3-13排版.indd 192024/5/8 17:42:582024/5/8 17:42:58020网络安全 2024:守初心 创新质84459227944327866821094816512635806352881717014244126720100000200000300000400000500000600000700000800000900000标题图 2.4 数据库服务类型分布全国暴露在互联网上的邮件服务数量为 31,046,317,如图 2.5 所示,主要包括 IMAP、POP 和 SMTP 等类型。邮件服务也是黑客最常用的网络攻击渠道之一,攻击者往往会利用邮件传播恶意软件、窃取身份验证、实施网络钓鱼和金融诈骗等。3076819617570410241705000000100000001500000020000000250000003000000035000000IMAPPOPSMTP标题图 2.5 邮件服务类型分布网络安全2024-守初心 创新质绿盟版3-13排版.indd 20网络安全2024-守初心 创新质绿盟版3-13排版.indd 202024/5/8 17:42:582024/5/8 17:42:58021安全态势篇2.2 高风险主机2.2.1 高风险端口开放情况在互联网上暴露高风险服务端口,会降低系统的安全性,增加黑客攻陷系统的概率。在本年的热点事件中,除了传统的高危 21、22 端口,3389 端口和 2375 端口也频繁被黑客或APT 组织利用,安全风险很大。通过绿盟威胁情报中心的统计,全国开放了高风险端口的资产数量共计 13,097,291 个,如图 2.6 所示。其中,开放 21、22、3389 和 2375 端口的资产数量占比分别为 45.18%、42.08%、12.18%和 0.019%。59879235511489159529825810100000020000003000000400000050000006000000700000021端口22端口3389端口2375端口标题图 2.6 高风险端口势态从地理分布上看,香港特别行政区暴露在互联网上的总资产最多,开放高风险端口也是最多的,总计开放端口数量为2,143,003个,其次是江苏省和山东省,分别开放端口数量为1,285,836个和 1,191,562 个,高风险端口的开放情况基本与各省市暴露的总资产数量成正相关。网络安全2024-守初心 创新质绿盟版3-13排版.indd 21网络安全2024-守初心 创新质绿盟版3-13排版.indd 212024/5/8 17:42:582024/5/8 17:42:58022网络安全 2024:守初心 创新质0500,0001,000,0001,500,0002,000,0002,500,00021端口(FTP)22端口(SSH)2375端口(Docker)3389端口(远程桌面)图 2.7 高风险端口地理分布 TOP10 省市2.2.2 运营商高风险属性情况从所属运营商分布上看,中国电信暴露在互联网上的高风险资产数量最多,也即开放高风险端口是最多的,总计开放高风险端口数量为 4,068,635 个,其次是中国联通和阿里云,开放高风险端口数量分别为 3,436,365 个和 1,757,387 个,高风险端口的开放情况基本与与运营商的规模体量成正相关。排名第四到第十位的分别是腾讯、华为、鼎峰新汇香港科技有限公司、中国移动、中华电信股份有限公司、动力线(香港)有限公司、clayer limited,都是知名的运营商。网络安全2024-守初心 创新质绿盟版3-13排版.indd 22网络安全2024-守初心 创新质绿盟版3-13排版.indd 222024/5/8 17:42:582024/5/8 17:42:58023安全态势篇050000010000001500000200000025000003000000350000040000004500000标题图 2.8 高风险资产所属运营商分布 TOP10从应用场景分布上看,数据中心应用场景在互联网上暴露的高风险资产最多,开放高风险端口最多的,总计开放端口数量为6,186,123个,其次是家庭宽带和企业专线两种应用场景,分别开放高风险端口数量为 6,142,575 个和 588,661 个,高风险端口的开放情况基本与与应用场景依赖远程的程度成正相关。后续排名分别是学校单位、专用出口、基础设施、移动网络等。网络安全2024-守初心 创新质绿盟版3-13排版.indd 23网络安全2024-守初心 创新质绿盟版3-13排版.indd 232024/5/8 17:42:582024/5/8 17:42:58024网络安全 2024:守初心 创新质01000000200000030000004000000500000060000007000000数据中心家庭宽带企业专线学校单位专用出口基础设施移动网络组织机构标题图 2.9 高风险资产所属应用场景分布2.3 恶意 IP 态势2.3.1 攻击类型绿盟威胁情报中心根据 2023 年参与到各类攻击事件的 IP 地址进行统计分析,其中恶意IP 参与较多的网络攻击事件包括拒绝服务、扫描探测、恶意软件、暴力破解、漏洞利用、钓鱼与欺诈等,具体分布如图 2.10 所示。其中,拒绝服务和扫描探测是占比较高的两种网络攻击类型,两类总和占到接近一半的比例。这两种行为通常会有大量节点的参与,与观测结果一致。我们发现,拒绝服务攻击的占比在 2023 年出现了较大的提高。2022 年内,拒绝服务攻击占比 17%,排名第三;在今年一跃成为占比第一的攻击类型。该类攻击因攻击成本低、攻击效果明显等特点,成为了互联网用户面临的最常见网络安全威胁之一。网络安全2024-守初心 创新质绿盟版3-13排版.indd 24网络安全2024-守初心 创新质绿盟版3-13排版.indd 242024/5/8 17:42:592024/5/8 17:42:59025安全态势篇拒绝服务26%扫描探测23%恶意软件下载12%暴力破解10%漏洞利用8%钓鱼与欺诈6%僵尸网络主控端5%Web攻击4%垃圾邮件4%暗网通信2%网络挖矿0%图 2.10 恶意 IP 攻击类型分布2.3.2 攻击源地理分布据绿盟威胁情报中心统计,从攻击源 IP 的地理分布来看,广东、江苏、浙江、山东、河南等 IP 数量位于前列,如图 2.11 所示。经济相对发达的省份,网络规模大,被黑客控制并利用来参与网络攻击的比例也更高。网络安全2024-守初心 创新质绿盟版3-13排版.indd 25网络安全2024-守初心 创新质绿盟版3-13排版.indd 252024/5/8 17:42:592024/5/8 17:42:59026网络安全 2024:守初心 创新质0200000400000600000800000100000012000001400000160000018000002000000广东省 江苏省 浙江省 山东省 河南省 福建省 安徽省 辽宁省 湖北省 四川省图 2.11 国内恶意 IP 地理分布2.3.3 攻击目标地理分布从攻击目标 IP 的地理分布来看,广东省、江苏省、上海市的攻击目标 IP 数量分列前三位,都达到了 20 万个以上,具体分布如图 2.12 所示。050000100000150000200000250000300000350000图 2.12 攻击目标全国分布网络安全2024-守初心 创新质绿盟版3-13排版.indd 26网络安全2024-守初心 创新质绿盟版3-13排版.indd 262024/5/8 17:42:592024/5/8 17:42:59027安全态势篇2.4 IPv6 安全态势2023 年,绿盟威胁情报中心选取了国内数百家部署了 IPv6 业务的典型单位(行业覆盖政府、教育、能源、医疗、交通等主要行业),对这些客户 IPv6 环境在 2023 年遭受到 IPv6攻击告警日志进行分析,观察国内 IPv6 环境下的单位面临的威胁状况。2.4.1 IPv6 漏洞基于 NVD 数据库收录漏洞的观察,从 2002 年起累计公布的 IPv6 漏洞共有 536 个。其中,2023 年新增了 36 个 IPv6 漏洞。从总体上看,自 2010 年后,IPv6 相关漏洞一直保持着不断增长的趋势。2 5 6 10 7 17 10 10 11 20 24 26 20 37 14 67 31 25 79 46 33 36 01020304050607080902,0022,0032,0042,0052,0062,0072,0082,0092,0102,0112,0122,0132,0142,0152,0162,0172,0182,0192,0202,0212,0222,023漏洞数量(单位:个)图 2.13 2002 年以来 IPv6 相关漏洞统计值得注意的是,IPv6 的高风险漏洞比例较高,以 2023 年为例,IPv6 严重和高危风险的漏洞占到 IPv6 总体漏洞的 64%,高于 IPv4 中的 53%。网络安全2024-守初心 创新质绿盟版3-13排版.indd 27网络安全2024-守初心 创新质绿盟版3-13排版.indd 272024/5/8 17:42:592024/5/8 17:42:59028网络安全 2024:守初心 创新质严重8%高危56%中危36%低危0%图 2.14 2023 年 IPv6 安全漏洞等级分布2.4.2 攻击源地理分布绿盟威胁情报中心通过对数百家国内 IPv6 部署单位的攻击告警数据进行分析,统计国内典型客户遭受的攻击特点。在统计的数百家单位中,全年遭受到了近 50 万个来自全球的 IPv6 地址的攻击,其中绝大部分攻击源位于国内,占比 98%。在近 3 年的攻击源统计中可以发现,位于国内的攻击源占比持续增长,目前已远超国外攻击源数量。可见,要提升 IPv6 网络环境安全,关键是要对境内 IPv6 主机的失陷和滥用行为进行监测和治理。国内35%国外65%国内94%国外6%国内98%国外2%图 2.15 近 3 年 IPv6 攻击源境内外分布(从左到右依次为 2021 年到 2023 年)网络安全2024-守初心 创新质绿盟版3-13排版.indd 28网络安全2024-守初心 创新质绿盟版3-13排版.indd 282024/5/8 17:42:592024/5/8 17:42:59029安全态势篇分析来自国内的 IPv6 攻击源地址,发现江西、江苏、广东、河南、山东排名前五。参考本报告 2.3.2 章节,国内 IPv4 攻击源排名靠前的省份,在 IPv6 攻击源中排名也基本靠前。这些省份中多数经济相对发达、产业规模更大,面临的资源滥用误用风险也更大。因此,IPv6的安全建设应跟各省 IPv6 业务建设同步发展,否则容易出现 IPv6 应用后整体安全能力反而下降的问题。0200040006000800010000120001400016000江西省 江苏省 广东省 河南省 山东省 福建省 辽宁省 北京市 安徽省 陕西省图 2.16 2023 年 IPv6 攻击源国内前 10 分布2.4.3 攻击类型据绿盟威胁情报中心统计,2023 年恶意 IPv6 地址参与恶意网络攻击的主要类型分布如下图所示。其中,漏洞利用、暴力破解、扫描探测、DDoS 等是排名靠前的网络攻击类型,分别占比 41%、23%、17%和 15%。网络安全2024-守初心 创新质绿盟版3-13排版.indd 29网络安全2024-守初心 创新质绿盟版3-13排版.indd 292024/5/8 17:42:592024/5/8 17:42:59030网络安全 2024:守初心 创新质漏洞利用41%暴力破解23%扫描探测17%拒绝服务15%Web攻击3%恶意软件下载1%网络挖矿0%图 2.17 IPv6 攻击类型分布具体来看,发生次数较多的攻击事件如下。UDP-Flood 在 DDoS 攻击中占到很高比例;黑客常对 FTP、HTTP 和 SNMP 等服务进行暴力破解。可以发现,与 IPv4 类似,IPv6 的攻击方式复杂,攻击手段多样,涉及 DDoS、漏洞利用和僵木蠕等多种类型,挖矿相关行为也时有发生。表 2.1 IPv6 常见攻击事件攻击类型排名攻击名称1UDP-Flood 淹没拒绝服务攻击2FTP 服务用户弱口令认证3SNMP 服务访问使用默认 private 口令4Avaya Hidden Community String 攻击5watchdogs 挖矿木马 DNS 通信6挖矿程序查询 DNS 矿池服务器域名7HTTP 服务目录遍历漏洞8挖矿蠕虫 WannaMine 连接 DNS 服务器通信9恶意程序 windows/PowerGhost_a 网络通信10HTTP 服务认证弱口令登录2.5 暗网态势通过建立对暗网资源的实时监控,绿盟科技发现了2023 年国内外的大量数据泄露事件。这些泄露的数据内容主要是个人信息,可能包括姓名、身份证号、电话、地址、邮箱、银行卡等关键隐私内容。为了探究我国相关数据在这些事件中的情况,我们从多个角度进行了分析。2023 年内,共发现与中国相关的数据泄露 5,630 次,其中,大部分为不同平台、网站的网络安全2024-守初心 创新质绿盟版3-13排版.indd 30网络安全2024-守初心 创新质绿盟版3-13排版.indd 302024/5/8 17:42:592024/5/8 17:42:59031安全态势篇个人隐私信息,主要包括用户个人信息、用户消费记录、单位员工信息等。根据这些泄露事件的交易描述,在初步去重后,我们发现其中至少包含 446 亿条信息,横跨金融、电商、教育、医疗、能源、政府等多种领域,涉及儿童、老人、孕妇、重要单位员工等多种人群。可见,2023 年内,我国的数据泄露情况不容乐观,公民数据安全风险高。图 2.18 泄露清单示例我们对上述信息进行了深入分析,从不同的角度对其分类统计,以探寻这些数据泄露事件所覆盖的范围、影响的领域和人群。2.5.1 涉及行业领域通过对 2023 年对数据泄露交易信息进行分析,观察到不同行业数据泄露情况,按照泄露事件数和泄露数据量分别进行统计。根据统计,监测到的数据中,泄露事件数从多到少依次为金融、教育、电商、重要单位组织机构、物流、医疗和工业。而根据泄露的数据量,则依次为电商、物流、金融、教育、重要单位组织、工业和医疗。可以发现,金融、电商和教育这三个领域,不论是泄露事件数,还是泄露数据量,都占有较高的比重。其中,金融领域的泄露事件数达到了 40.9%,远超其他几类;泄露数据量则是占到 6.7%。金融领域的泄露主要涉及到银行用户信息、贷款用户信息、股票投资信息等。这些数据的泄露很容易造成直接的经济损失,这也导致了不法分子更倾向于频繁窃取、贩卖金融领域的相关数据。电商领域的泄露事件数占比为 7.6%,但是其中包括的数据量却最高,占到了 49.7%,远超其他几类。其泄露内容主要包括网购订单数据和平台用户信息。国内的几家头部电商平台,由于其极高的覆盖度和使用率,一旦发生数据泄露,其规模有可能远超其他行业。这也是2023 年电商领域泄露数据量高的原因。网络安全2024-守初心 创新质绿盟版3-13排版.indd 31网络安全2024-守初心 创新质绿盟版3-13排版.indd 312024/5/8 17:42:592024/5/8 17:42:59032网络安全 2024:守初心 创新质重要单位组织机构占到 7.4%的泄露事件数,数据量则只有 0.5%。其中主要是重要单位收集存储的公民信息,以及重要单位内部人员信息,包括政府机关、研究所、大型企业等。前者往往内容真实且全面,后者更是涉及到国家安全稳定,因此这两类数据的泄露往往会造成极大的隐患。在“其他”一栏中,主要是生活工作常用的平台和软件,包括社交平台、视频和音乐软件和办公软件等。这些来源的泄露事件数占比11.7%,泄露数据量却达到28.3%。与电商类似,其高覆盖度和使用率同样导致其泄露规模通常较大。该领域的泄露内容主要为用户注册信息,包括绑定的手机号、社交账号、邮箱等。这些数据的覆盖度极广,涉及到生活的方方面面;不同账号之间的绑定关系更是加深了其覆盖范围。不法分子在这些数据中能够顺藤摸瓜,不管是大规模的骚扰、诈骗,还是有针对性的攻击,都会更有可乘之机。金融40.9%教育14.8%电商7.6%重要单位组织机构7.4%物流6.8%医疗6.3%工业4.6%其他11.7%图 2.19 2023 年国内数据泄露涉及行业(事件数)网络安全2024-守初心 创新质绿盟版3-13排版.indd 32网络安全2024-守初心 创新质绿盟版3-13排版.indd 322024/5/8 17:43:002024/5/8 17:43:00033安全态势篇电商49.7%物流11.4%金融6.7%教育3.4%重要单位组织机构0.5%工业0.1%医疗0.1%其他28.3%图 2.20 2023 年国内数据泄露涉及行业统计(数据量)2.5.2 涉及人群观察交易信息,可以发现其中有很多都对数据内容进行了简单介绍。其中可以发现,泄露数据涉及到的人群有明显的倾向性:一方面,一些人群相关的数据在交易平台中频繁出现;另一方面,不法分子会在售卖高价值信息时标出关键字眼,以吸引买家注意。统计其中出现的人群相关关键词,其结果如图 2.21 所示。1,030 56 324 02004006008001,0001,200脆弱人群关键人群高净值人群出现次数图 2.21 数据泄露针对人群分布网络安全2024-守初心 创新质绿盟版3-13排版.indd 33网络安全2024-守初心 创新质绿盟版3-13排版.indd 332024/5/8 17:43:002024/5/8 17:43:00034网络安全 2024:守初心 创新质大量的数据泄露内容与脆弱群体相关,这里的脆弱群体主要包括儿童、老人、宝妈、大学生等人群。由于其消费习惯、防范意识等方面的因素,危险分子选择这类人群作为重点关注的群体。类似地,不法分子也倾向于关注高净值人群和关键人群的信息。在对泄露数据的描述中常常会出现“富人”“豪宅”等指向高净值人群的词语,这些泄露数据可能会造成巨大的经济损失。而关键人群主要为政府、大型企业等关键单位员工,其中可能会包含高层领导、知名教授、企业高管等人群,这些人群的信息一旦泄露,则可能会对国家和社会造成严重危害。可以看出,不法分子出于其经济利益等因素,在选择泄露数据时具有明显的倾向性,导致部分人群面临的风险更高。2.5.3 涉及地区在 5630 次数据泄露中,有部分提及了数据的地域信息。在图 2.22 中列出了被提及次数最多几个省份,其中前三名分别是广东省、北京市和台湾省。可以发现,经济较为发达、人口数量多的省份,更容易发生数据泄露。75787899108114115119129147湖北省山东省湖南省上海市江苏省浙江省四川省台湾省北京市广东省图 2.22 数据泄露相关省份 TOP102.5.4 涉及内容在泄露数据中,有很多对其中包含的数据字段进行了描述。其中,身份证、手机号、地网络安全2024-守初心 创新质绿盟版3-13排版.indd 34网络安全2024-守初心 创新质绿盟版3-13排版.indd 342024/5/8 17:43:002024/5/8 17:43:00035安全态势篇址和密码等字段出现次数较多,邮箱、银行卡等也有所提及。这些数据的泄露,很容易导致身份盗用、网络诈骗等事件的发生。703622854240148507身份证地址手机邮箱银行卡密码图 2.23 泄露数据中的已知字段2.5.5 活跃账号在一些交易平台,可以看到发布交易信息的账号。我们对 2023 年下半年的发布交易信息的账号进行了统计分析。在下半年,共发现 776 个账号发布过交易信息。这些账号呈现明显的长尾分布,有 552个账号只发布过 1-3 次泄露数据,约占 71%;有 4 个账号发布数量超过 100 次,呈现极端活跃的状态。网络安全2024-守初心 创新质绿盟版3-13排版.indd 35网络安全2024-守初心 创新质绿盟版3-13排版.indd 352024/5/8 17:43:002024/5/8 17:43:00036网络安全 2024:守初心 创新质4 19 28 66 107 552 0100200300400500600100次以上20-100次10-20次5-10次3-5次1-3次账号数图 2.24 不同账号发布泄露数据的次数分布其中,有一条极端活跃的账号,发布次数最多,共发布了257次泄露数据:发布数据量极大,至少有 11 亿条数据。这个账号发布的泄露数据涉及多个行业、多种人群,覆盖范围极广。除了一条最极端活跃的账号,其他活跃账号发布的数据所包含的条数普遍并不多:发布次数排名 2-20 的账号中,泄露的数据共 5.58 亿条,只占到总数的 1%;而发布大规模泄露的账号,则普遍只有寥寥几次的发布记录。观察这些活跃账号,可以发现其中一些具有明显的倾向性:很多账号的发布内容集中在金融领域,包括银行客户信息、网贷信息;某账号发布了大量某款股民常用软件的用户信息。2.6 恶意软件威胁态势2.6.1 IoT 恶意软件2023 年度,绿盟科技伏影实验室监测到的 IoT 恶意软件主要为 Mirai、Gafgyt 和XorDDoS,以 DDoS 家族为主。其中,Mirai 及其变种家族,无论是肉鸡数量(35%)、下发指令(86%)以及 C&C 数量(47%)均位列全球之首,是 IoT 平台上最大最活跃的威胁势力。开源家族衍生方面,由 Mirai 和 Gafgyt 及两者共同变化出的新家族层出不穷,而伏影实验室也在 2023 年度共发现了超过 13 个上述两个家族的变种家族。其中,LockerBot(5%)、网络安全2024-守初心 创新质绿盟版3-13排版.indd 36网络安全2024-守初心 创新质绿盟版3-13排版.indd 362024/5/8 17:43:002024/5/8 17:43:00037安全态势篇Miori(4%)、hailBot(3%)是本年度感染量最大的新型 Mirai 变种。Mirai47%hailbot13%Gafgyt12%Miori10%billgates5%MiraihailbotGafgytMioribillgatesfbotxorddosTSUNAMIDOFLOONekonebotCatDDoSZnaichHYBRIDMQperlIRCBOTKiraiBot mirai35%Mozi25%Muhstik11%Gafgyt7%LockerBot5%Miori4%hailBot3%miraiMoziMuhstikGafgytbillgatesLockerBotMiorihailBotVapeBotXORDDoSCatDDoS图 2.25 IoT 平台僵尸网络各家族控制资源情况Mirai86%Gafgyt9%Xorddos5%MiraiGafgytXorddoshailbotLockerBotCatDDoS2SDBOTRDDoSVapeBotTSUNAMIDOFLOOsuBot 0100000200000300000400000500000600000700000平台各僵尸网络家族指令数图 2.26 IoT 平台僵尸网络各家族指令下发情况自研家族方面,伏影实验室分别在 2023 年 8 月和 11 月监测到 RDDoS 与 XorBot 这两个采用全新架构并持续升级的 DDoS 家族。此外,2022 出现的 Boat、KmsdBot、RedGoBot、Yeskit、RapperBot 等家族依然在持续活动。攻击活动方面,IoT DDoS 家族发起的攻击活动于年度大幅度增加。美国(36%)、中国(23%)、德国(7%)、加拿大(4%)受到最多攻击。对于中国国内,受攻击目标主要位于大湾区、江浙等沿海发达地区。网络安全2024-守初心 创新质绿盟版3-13排版.indd 37网络安全2024-守初心 创新质绿盟版3-13排版.indd 372024/5/8 17:43:012024/5/8 17:43:01038网络安全 2024:守初心 创新质010000200003000040000500006000070000美国中国德国加拿大法国新加坡荷兰United Kingdom韩国巴西英国俄罗斯波兰澳大利亚土耳其伊朗越南日本沙特阿拉伯西班牙罗马尼亚瑞士芬兰意大利卢森堡其他攻击目标分布图 2.27 受害者分布情况感染传播方面,IoT 恶意家族使用了超过 150 多种不同的漏洞进行传播。其中,路由器(38%)成为最受攻击者青睐的立足设备。扩大影响力方面,依然存在 IoT 攻击团伙采取高调策略的情况,利用如 Youtube、Twitter 的互联网社交平台及 Telegram、QQ 这样的即时通讯平台作为活动阵地。攻击业务方面,多个控制 IoT 家族的攻击团伙均不同程度地发生了业务转型,从单一业务扩展到 DDoS 和挖矿兼具模式,以尽可能扩大攻击面以攫取更多利益。2.6.2 新型 IoT 僵尸网络家族 hailBot2023 年 9 月,绿盟科技伏影实验室首次检测并披露 hailbot 僵尸网络。该家族修改自Mirai 源码,通过漏洞利用和弱口令扫描爆破的方式进行传播,支持基于 TCP 和 UDP 协议在内的多种 DDoS 攻击方式。根据溯源,hailbot 的控制者早年经营 Windows 窃密木马托管业务,后来于 2022 年底开始布局 hailbot 僵尸网络,开始针对 IoT 平台进行 DDoS 攻击活动。据统计,hailbot 至今已拥有超过 500 个 C&C,其攻击目标主要集中在新加坡,美国和加拿大等地,观察表明,hailbot 的控制者为取得更好攻击效果,发展出了多级 C&C 结构,在隐藏核心基础设施的同时,还可提高其分布式攻击的同步性,有利于制造更大规模的 DDoS 攻击。网络安全2024-守初心 创新质绿盟版3-13排版.indd 38网络安全2024-守初心 创新质绿盟版3-13排版.indd 382024/5/8 17:43:012024/5/8 17:43:01039安全态势篇 RDDoS2023 年 8 月,绿盟科技伏影实验室捕获到新型 DDoS 僵尸网络家族 RDDoS。该家族采用 Golang 编写,使用全新架构,自 8 月至 10 月间产生了多个变种,在 DDoS 方式、C&C 端口、代码结构等方面进行修改,迭代迅速。监测数据显示,RDDoS在攻击活动中主要使用ICMP泛洪对目标发起24小时不间断攻击,占到总体活动的八成左右。目标方面,RDDoS 的攻击对象包含了美国、巴西、法、中国、德国以及荷兰等国家。此外,RDDoS 还具备了命令执行能力,使得其威胁性进一步提高。近年来,僵尸网络在高级威胁中的参与度逐渐提升,作为 APT 攻击或勒索组织渠道的事件也有发生,需要警惕。CatDDoS2023 年 9 月,绿盟科技伏影实验室监测到基于 Mirai 开发而来的新型家族 CatDDoS。该家族在 Mirai 源码的基础上引入了 ChaCha20 算法,以保护关键信息。CatDDoS 内置多种 DDoS 攻击方式。而在实际活动中,攻击者倾向于使用 ACK 与和GREIP 两种泛洪攻击方式,分别占到 63%和 29%。监测数据显示,CatDDoS 家族的指令下发动作较为频繁,攻击目标包括中、美、日、法及新加坡等国,攻击时段多以早上 8 点至晚上 9 点。此外,CatDDoS 在通信隐匿性上也有所设计,通过引入 OpenNIC 域名来起到隐匿真实C&C IP 的作用,这与 2022 年出现的 Fodcha 家族颇为相似。XorBot2023 年 11 月,绿盟科技伏影实验室首次发现 XorBot,并很快检测到其变种出现。该家族是从一个从零开始构建的新型僵尸网络家族,采用了全新架构,正在快速成长中。不同于传统家族,XorBot 采用被动接收的上线模式,在与控制端建立连接后并不急于主动发送上线包,而是被动等待控制端回复。这对依赖 Fakenet 的沙箱检测形成了挑战。此外,该家族的变种链入了大量无效代码,影响静态检测,一度导致 VT 检出率为 0。XorBot 背后存在着专业化攻击团伙,其自研代码中并未包含脆弱性利用代码,而是使用独立的传播工具,这将有利于隐匿其传播技术,以防止 0day 与木马本体被捕获分析一锅端。2.6.3 勒索软件主流家族网络安全2024-守初心 创新质绿盟版3-13排版.indd 39网络安全2024-守初心 创新质绿盟版3-13排版.indd 392024/5/8 17:43:012024/5/8 17:43:01040网络安全 2024:守初心 创新质 LockBit 家族LockBit 勒索软件于 2019 年 9 月首次出现。随着时间的推移,该软件不断迭代更新,于2021 年升级至 LockBit 2.0 版本,并在 2022 年 6 月更新至 LockBit 3.0。LockBit 采用了近年来较为流行的双重勒索模式,即通过加密受害者文件并要求支付赎金来恢复数据,同时以公开泄露数据为要挟,迫使受害者再次支付费用。LockBit 的运营模式基于勒索软件即服务(RaaS),其中初始访问代理(IAB)负责部署恶意软件或获取目标组织内部的基础设施访问权限。随后,这些访问权限被出售给多个LockBit 运营商,用于进一步的开发和利用。2023 年,LockBit 的攻击活动日益频繁。据英国金融时报报道:2023 年 11 月 9 日,某大型国有银行的金融服务部门遭受了 LockBit 勒索软件的攻击。这次攻击导致部分业务受阻,股票交易也受到影响。虽然此次攻击对美国国债市场的流动性产生了一定影响,但并未损害市场的整体运作。针对此次事件,银行方面回应称受到攻击的是其金融服务业务,该业务与集团主体业务相互独立。同时,银行强调其总行及其他境内外关联机构的系统并未受到此次事件的影响,位于纽约的分行也未受影响。TellYouThePass 家族Tellyouthepass 勒索病毒家族自 2019 年 3 月以来持续活跃,其在国内的传播尤为广泛,主要将矛头指向国内的 Web 应用服务器。该家族偏好利用各类热门漏洞武器进行攻击传播,并运用 RSA AES 加密算法对文件进行加密。近年来,其活动极为频繁:2020 年 7 月,TellYouThePass 勒索病毒利用永恒之蓝漏洞对多家企业发起攻击;2021年12月,该病毒利用Log4J2漏洞在Linux及Windows平台上重现;2022年8月,TellYouThePass利用某财务软件的0day漏洞发动勒索攻击;直至2023年11月,攻击者再次利用网络空间测绘等平台预先收集并识别出暴露在互联网的某医药系统,进而利用该系统漏洞上传WebShell,通过连接WebShell向目标机器投送 Tellyouthepass 勒索病毒。BlackCat 家族BlackCat 勒索软件(又名 AlphaVM、AlphaV 或 ALPHV)最早于 2021 年 11 月中旬披露,该木马使用 RUST 语言编写,具备高度定制化的特点。研究表明,BlackCat 勒索软件已与 Conti、LockBit 和 REvil 等其他知名勒索软件家族开展合作。早在 2021 年 12 月初,该团伙便通过俄罗斯地下犯罪论坛积极寻求合作伙伴。其制定的网络安全2024-守初心 创新质绿盟版3-13排版.indd 40网络安全2024-守初心 创新质绿盟版3-13排版.indd 402024/5/8 17:43:012024/5/8 17:43:01041安全态势篇条款里,合作伙伴将获得 80%-90%的赎金份额,而剩余的份额将归属于 BlackCat 开发团队。近年来,BlackCat 团伙的攻击频率呈现出持续增长的态势,且他们攻击目标大多数集中在美国企业,同时,欧洲和亚太地区的组织也是其重要的攻击目标。金融、专业服务、法律服务等行业是 BlackCat 勒索组织密切关注的重点领域。2.6.4 挖矿木马主流家族“8220”挖矿组织“8220”是一个自 2017 年起便开始持续活跃的挖矿组织,因其经常使用 8220 作为C&C 通信端口而得名,该组织习惯于依靠简单、公开、可用的漏洞来传播恶意软件,其常用工具集包括 Tsunami 恶意软件和 XMRig 加密挖矿程序。该组织长期以来一直针对云和容器环境中的应用程序发起攻击,然后部署加密货币挖矿程序。2023 年 5 月,该组织利用 WebLogic 服务器中的一个高严重性远程代码执行漏洞 CVE-2020-14883(CVSS 评分:7.2)来传播他们的恶意软件。该次攻击活动使用的攻击组件除了包含该漏洞的 XML 文件,还有 Agent Tesla 等后续负责部署窃密软件和挖矿软件的组件。该活动的攻击目标包括美国、南非、西班牙、哥伦比亚和墨西哥的医疗保健、电信和金融服务部门。TeamTNTTeamTNT 挖矿组织最早于 2019 年被发现,其命名源自组织早期使用的域名 teamtnt.red,TeamTNT 挖矿组织攻击目标包括 Docker Remote API 未授权访问漏洞、配置错误的Kubernetes 集群以及 Redis 服务暴力破解。目前,该组织已发展成为针对 Linux 服务器进行挖矿的主要攻击组织之一。2023 年 6 月,TeamTNT 组织在其工具中新增了针对 Azure 和 Google 云平台的模块。尽管这些功能尚未被调用,但表明这些功能正在积极开发中,可能会在未来的攻击活动中使用。2023 年 7 月,TeamTNT 组织发起了针对云原生环境的攻击活动,研究人员在本次攻击活动中发现了用于实施攻击的基础设施。这些基础设施正处于测试和部署的早期阶段,主要针对暴露的 JupyterLab 和 DockerAPI 进行攻击,接着传播 Tsunami 恶意软件,并进一步进行云凭据劫持、资源劫持和蠕虫感染等攻击活动。WatchDog 挖矿组织网络安全2024-守初心 创新质绿盟版3-13排版.indd 41网络安全2024-守初心 创新质绿盟版3-13排版.indd 412024/5/8 17:43:012024/5/8 17:43:01042网络安全 2024:守初心 创新质WatchDog 挖矿组织于 2019 年 1 月首次被发现,其命名来源于木马运行后创建的守护进程名watchdogd。该组织习惯于利用暴露的Docker Engine API端点和Redis服务器发起攻击,通过使用开放端口 2375 破坏配置错误的 Docker Engine API 端点来发起攻击,使它们能够在默认设置下访问守护进程,并且能够迅速扩散至整个网络,感染更多设备。2023 年,该团伙活动极为频繁,WatchDog 挖矿组织具备跨平台攻击能力,在 Windows平台,该组织在攻击活动中首先会从下载站点上下载名为“init.ps1”的 PowerShell 脚本,运行该脚本后会接着下载挖矿程序和漏洞扫描程序等后续组件。在 Linux 平台,WatchDog会下载名为“init.sh”的 sh 脚本,该脚本同样会下载 Linux 端的挖矿程序、漏洞扫描程序等组件,功能与 Windows 平台一致。另外,其攻击组件还具具备清空防火墙规则、清除日志、创建计划任务、结束安全产品、添加 SSH 公钥、结束竞品挖矿、横向移动和结束特定网络连接等功能。2.6.5 窃密木马主流家族 Gh0st 银狐版Gh0st 作为一款 Windows 远程控制工具,早年间开源后成为黑产组织手中的香饽饽,经改造产生了海量变种,长期肆虐于 Windows 平台。2023 年,这些变种依旧极其活跃,其中以银狐 Gh0st 尤甚。银狐 Gh0st 主要通过利用社交工程 即时通信软件钓鱼的方式传播。该团伙会想方设法寻找目标诸如社交媒体账号、客服等暴露于互联网的联系方式,添加对方微信或 QQ,通过社交工程向目标发送伪装成正常文件的木马并引诱其下载执行。而对于一些公司单位,在时机成熟条件允许情况下,该组织成员得以加入目标所在群聊进行投毒。投毒文件的名称往往与财务、政策相关,极具诱导性,旨在降低受害者防范意识,使其放松警惕从而中招。之后攻击者可控制受害者的通讯软件转发钓鱼文件或链接,以求感染更多受害者。银狐版 Gh0st 引发的一系列安全事件危害极大。攻击者利用微信、QQ 等社交软件,从私域打开突破口,对目标进行远程控制。对个人而言,一旦攻击者开始操控受害者的社交软件,可将攻击面扩大至其联系人和群聊,窃取更多用户隐私,甚至故意制造混乱,为当事人带来巨大的麻烦。Pikabot2023 年 2 月,一种名为 Pikabot 的新型僵尸网络木马出现在 Windows 平台,主要通过网络安全2024-守初心 创新质绿盟版3-13排版.indd 42网络安全2024-守初心 创新质绿盟版3-13排版.indd 422024/5/8 17:43:012024/5/8 17:43:01043安全态势篇钓鱼邮件与假冒知名软件进行传播。该家族可对肉鸡进行命令控制活动并下发其他恶意软件,在 2023 下半年活跃频繁,现阶段已成为 Windows 平台活动最猖獗的家族之一,对网络空间造成极大威胁。2023 年 8 月,国际联合执法力量对知名银行木马 Qkabot 发起清剿活动致其逐渐示微。Pikabot 借机与其他家族瓜分了 Qakbot 缺位留下的市场份额,占据其生态位并迅速扩张。为匹配快速增长的肉鸡数,Pikabot僵尸网络运营者先后在上下半年对C&C进行了大规模扩充。为加强僵尸网络控制的稳定性,Pikabot 运营者将这些 C&C 托管于三大洲 14 个国家的 20 余个云服务商平台上,以增强自身抗清剿风险的能力。Pikabot 不仅提供了远程控制功能,还可以像 Qakbot、Emotet 一样为其他家族提供分发服务。目前,Pikabot 已被发现存在投递 CobaltStrike 的行为。考虑 Qakbot、Emotet 曾参与勒索软件攻击事件,Pikabot 的能力恐使其成为更高威胁活动的跳板,对个人,企业以及国家安全造成难以估量的损失。2.7 APT 攻击态势2.7.1 本年度 APT 威胁趋势总览2023 年,绿盟科技伏影实验室观测发现全球 APT 活动数量达到新高,同比上升明显。本年度伏影实验室通过全球威胁狩猎系统捕获了 81 个组织 607 条 APT 攻击线索,相比去年增长 26.9%。这些线索在梳理后可以对应至 362 起 APT 事件,其中 39 起事件由伏影实验室通过研究报告或社交媒体首次披露。网络安全2024-守初心 创新质绿盟版3-13排版.indd 43网络安全2024-守初心 创新质绿盟版3-13排版.indd 432024/5/8 17:43:022024/5/8 17:43:02044网络安全 2024:守初心 创新质Gamaredon,33Kimsuky,27Donot,27Lazarus,24Bitter,22TransparentTribe,20APT37,15SideCopy,14APT29,14Patchwork,13未确认,12Sidewinder,12Konni,12DarkPink,6APT34,6CloudAtlas,6Confucius,6MuddyWater,6APT28,5DangerousPassword,52023年年APT组织组织事件数量事件数量占比统计占比统计图 2.28 2023 年 APT 组织事件数量占比统计本年度伏影实验室 APT 情报库共收录 APT 活动报告 163 篇,分别关联至 72 个已知的APT 组织,其中包括 27 个全年活动数量超过 2 次的活跃 APT 组织。05101520LazarusAPT29APT34沙虫MuddyWaterGamaredon摩诃草SideCopy伪猎者YoroTrooperSidewinderDonotAPT33:group图 2.29 2023 年 APT 组织相关报告统计网络安全2024-守初心 创新质绿盟版3-13排版.indd 44网络安全2024-守初心 创新质绿盟版3-13排版.indd 442024/5/8 17:43:022024/5/8 17:43:02045安全态势篇本年度,由于印度与其邻国关系持续紧张,南亚方面 APT 组织活动非常活跃,事件数量占比超过三成(116 件);东亚方面受到朝鲜半岛态势升级的影响,APT 活动较多,事件数量占比达到 26%(91 件);而东欧与中东方面由于俄乌冲突的持续以及巴以冲突的爆发,APT 事件数量同样居高不下,分别占比 21%(74 件)与 8%(29 件);其他 APT 事件的来源方向还包括东南亚、南美、中亚和西欧和北美。南亚南亚32.31%东亚东亚25.35%东欧东欧20.61%中东中东8.08%东南亚东南亚1.95%南美南美1.39%中亚中亚1.11%西欧西欧0.28%北美北美0.28%未确认未确认8.64 23年年APT攻击事件攻击事件区域分布统计区域分布统计图 2.30 2023 年 APT 攻击事件区域分布统计APT 活动受害目标方面,受全球局势持续动荡影响,2023 年以政治目的为导向的 APT攻击活动数量较多,各国政府部门成为受害重灾区;除此之外受攻击较多的领域还包括科研机构、国防军工业、金融机构、通信业、各类企业与基础设施等。网络安全2024-守初心 创新质绿盟版3-13排版.indd 45网络安全2024-守初心 创新质绿盟版3-13排版.indd 452024/5/8 17:43:022024/5/8 17:43:02046网络安全 2024:守初心 创新质2023年年APT活动活动攻击目标攻击目标行业分布行业分布图 2.31 2023 年 APT 活动攻击目标行业分布2.7.2 重点地区的 APT 活动2.7.2.1 针对我国的 APT 活动2023 年,针对我国的 APT 攻击行动数量进一步增加,关联的 APT 组织也更为多样。本年度,伏影实验室深度参与了多起境外组织对我 APT 攻击行动的调查取证工作,涉及APT 组织包括北美方向的 NSA(方程式),南亚方向的 Bitter(蔓灵花)、Patchwork(白象)、Donot(肚脑虫),东南亚方向的 OceanLotus(海莲花),东亚方向的 DarkHotel(暗店),欧洲方向的 Shathak(沙塔克),以及疑似来自亚洲的双异鼠组织。这些 APT 事件绝大多数以间谍式信息窃取为驱动,攻击目标领域涵盖我国的政府机关、国有企业、高等院校等关键基础设施。网络安全2024-守初心 创新质绿盟版3-13排版.indd 46网络安全2024-守初心 创新质绿盟版3-13排版.indd 462024/5/8 17:43:022024/5/8 17:43:02047安全态势篇图 2.32 2023 年对我 APT 攻击活动来源分布2.7.2.2 东亚区域的 APT 活动受朝韩关系持续恶化影响,本年度东亚地区朝鲜半岛方面的 APT 活动数量极多。朝鲜 APT 组织 Konni 与 Kimsuky 针对韩国的媒体、政府国防部、政府外交部、企业等发起数次钓鱼攻击行动,使用的诱饵包括“华盛顿宣言对朝核威胁的帮助”、“朝鲜人权组织活动的困难与激活他们的措施”等,与朝韩关系直接相关。Konni 组织还频繁使用一种通过chm 文件投递木马程序的攻击手法,对韩国金融企业、互联网企业以及民众进行钓鱼攻击。另一朝鲜 APT 组织 Lazarus 在本年度发动了多起大型 APT 行动,包括迄今以来影响范围最大的供应链攻击行动3CX 供应链攻击事件、针对 Windows IIS Web 服务器的网络攻击行动、针对欧洲制造业的“梦想工作行动”后续行动、针对俄罗斯导弹工程公司 NPO Mashinostroyeniya 的网络入侵活动、MagicLine4NX 零日漏洞供应链攻击行动、针对韩国军人的钓鱼攻击行动等。2.7.2.3 南亚区域的 APT 活动本年度,印巴两国的主要 APT 组织依旧保持活跃。印度 APT 组织 Donot(肚脑虫)在本年度广泛使用一种基于恶意远程模板文档和.buzz域名的鱼叉式钓鱼攻击策略,攻击目标包括巴基斯坦政府外交部门。另一印度 APT 组织 SideWinder(响尾蛇)也发起了针对巴基斯坦海军的邮件钓鱼攻击,该组织在 2023 年的攻击目标还包括不丹和尼泊尔等国的政府。另一印度 APT 组织 Patchwork 在 2023 年下半年开始通过 discord CDN 等途径传播该组网络安全2024-守初心 创新质绿盟版3-13排版.indd 47网络安全2024-守初心 创新质绿盟版3-13排版.indd 472024/5/8 17:43:022024/5/8 17:43:02048网络安全 2024:守初心 创新质织的专有木马 Spyder,再通过该木马下载商业远控木马 Remcos,实现对受害者主机的长期控制。巴基斯坦方面的APT组织TransparentTribe(透明部落)实施了大量针对印度的攻击行动,主要目标为印度的政府部门、军队、高校和各种民间组织,典型事件为针对印度量子计算领域科研机构的攻击行动。另一巴基斯坦 APT 组织 SideCopy 在 12 月开始尝试使用 WinRAR 漏洞 CVE-2023-38831来部署 AllaKore RAT、Drat、Ares RAT 等木马程序,主要目标为印度军事机构。2.7.2.4 东欧区域的 APT 活动受长期持续的俄乌冲突的影响,俄罗斯FSB下属APT组织Gamaredon保持对乌克兰军队、政府、警察、基础设施等的活跃攻势。Gamaredon 奉行基于域名池的大规模鱼叉式钓鱼邮件策略,并不注重网络攻击活动的隐蔽性,这也是该组织 APT 活动数量占比较多的主要原因。7 月,一个从 2022 年开始活动的俄罗斯 APT 组织 RomCom 在本月上旬使用 Office 0 day 漏洞 CVE-2023-36884 发起了针对欧盟峰会参与人员的钓鱼攻击活动。APT29 在 2023 年第二季度至第三季度策划了一轮针对 Microsoft Teams 服务使用者的社交媒体钓鱼攻击,主要目标为全球各政府组织或重要基础设施的工作人员。此外该组织还利用了团队协作服务器 TeamCity 的零日漏洞 CVE-2023-42793,发起了针对全球多个目标的大型公网设备入侵行动。该组织还在 9 月发起了一起规模较大的鱼叉邮件钓鱼活动,目标为包括乌克兰阿塞拜疆、希腊、罗马尼亚和意大利在内的多国大使馆和国际组织。APT28 在 2023 年年底的一次网络攻击活动中,使用零日漏洞 CVE-2023-23397 来窃取Microsoft Exchange 账户的 NTLM 哈希值,从而实现针对特定目标的钓鱼邮件攻击。另一方面,活跃在东欧与地中海区域的 APT 组织 CloudAtlas 发动了针对俄罗斯民众的网络攻击行为,表明乌克兰及其盟友方面也在持续进行针对俄罗斯的 APT 攻击行动。2.7.2.5 中东区域的 APT 活动2023 年,受区域国家民族矛盾激化与巴以冲突爆发等因素影响,中东区域的 APT 网络攻击活动数量激增。12 月中旬,疑似受以色列资助的黑客组织 Predatory Sparrow 对伊朗全国的加油站系统进行了网络攻击,导致伊朗境内 70%的加油站被迫转为手动操作。Predatory Sparrow 在该网络安全2024-守初心 创新质绿盟版3-13排版.indd 48网络安全2024-守初心 创新质绿盟版3-13排版.indd 482024/5/8 17:43:032024/5/8 17:43:03049安全态势篇行动中攻陷了加油站系统的中央服务器,并窃取了加油站的各类信息以及支付系统的详细信息。伊朗黑客组织 APT34 在 2023 年发起了针对美国企业的活动,并在活动中使用了一种SideTwist 木马的变体。另一伊朗 APT 组织 CharmingKitten(APT35)则在最近发现的一起大型 APT 行动中,使用一种名为 Sponsor 的新型后门攻击巴西、以色列和阿联酋等国家。此外,包括 Imperial Kitten、MuddyWater 等在内的多个伊朗 APT 组织在巴以冲突爆发后发动了针对以色列的网络攻击行动,目标涵盖以色列的交通、物流和技术部门。疑似来源于阿联酋的 StealthFalcon 使用了一种新型木马 Deadglyph,对中东地区多个目标进行攻击。未知来源的新 APT 组织 Sandman 开发了一种基于 LuaJIT 平台(Lua 语言)的模块化后门 LuaDream,借此攻击中东、西欧和南亚的电信提供商。另一个新型组织 Scarred Manticore 对中东的金融、政府、军事和电信部门发动了复杂的网络间谍活动,此次行动的受害者遍布沙特阿拉伯、阿拉伯联合酋长国、约旦、科威特、阿曼、伊拉克和以色列等多个国家。2.7.2.6 北美区域的 APT 活动2023 年 9 月,由绿盟科技伏影实验室发现的未知来源 APT 组织渴血鹰(AtlasCross)发动了针对美国红十字会及其关联组织的网络攻击行动,该组织在入侵目标组织的外部设备后,再通过构建针对特定目标钓鱼文档的方式实现内网渗透与远程控制。11 月底,美国 CISA 称该国的水务系统使用的 Unitronics PLC(可编程逻辑控制器)受到黑客攻击,并称攻击源很可能是来自伊朗的黑客组织 Cyber Av3ngers。这起攻击有可能是因为 Unitronics Vision 系列 PLC 在安全管理上的混乱导致的,黑客通过公网搜索或暴力破解等方式获取了该系统的密码,进而对其进行控制和利用。网络安全2024-守初心 创新质绿盟版3-13排版.indd 49网络安全2024-守初心 创新质绿盟版3-13排版.indd 492024/5/8 17:43:032024/5/8 17:43:0303新技术发展篇网络安全2024-守初心 创新质绿盟版3-13排版.indd 50网络安全2024-守初心 创新质绿盟版3-13排版.indd 502024/5/8 17:43:032024/5/8 17:43:03051新技术发展篇3.1 大模型安全3.1.1 热点安全事件OpenAI 于 2022 年 11 月 30 日开放测试 ChatGPT,随后 ChatGPT 在全球范围呈现现象级热度,从聊天、翻译、撰稿到代码编写等任务上均表现优异。ChatGPT 成为互联网发展二十年来增长速度最快的消费者应用程序。但在其备受追捧的同时,ChatGPT 也面临 AI 自身数据和模型方面的安全隐患。OpenAI 在隐私政策中提到,ChatGPT 会收集用户账户信息、对话相关的所有内容、互动中网页内的各种隐私信息(Cookies、日志、设备信息等),这些信息可能会被共享给供应商、服务提供商以及附属公司,数据共享过程可能会有未经授权的攻击者访问到模型相关的隐私数据,包括训练/预测数据(可能涵盖用户信息)泄露,模型架构、参数、超参数等。除了 ChatGPT 自身风险,近期也出现了利用 ChatGPT 热度对用户隐私实施窃取攻击的活动。如,Github 上非官方的开源 ChatGPT 桌面应用项目被发现植入高危险性木马1,用户一旦运行了安装的可执行文件,就会泄露自己的账户凭证、浏览器Cookies 等敏感信息,为避免更多的用户中招,该开源项目现已更改了下载地址。2023 年 8 月,全球开放应用软件安全项目组织(OWASP)发布了针对大语言模型应用的 Top10 潜在安全风险。该列表旨在提供一份实用的安全指南,介绍在部署或管理大模型时可能存在的安全风险。1https:/ 创新质绿盟版3-13排版.indd 51网络安全2024-守初心 创新质绿盟版3-13排版.indd 512024/5/8 17:43:032024/5/8 17:43:03052网络安全 2024:守初心 创新质图 3.1 大语言模型应用潜在安全风险 Top102023 年 ChatGPT 风靡全球,其强大功能持续引发各界学者和用户的热议,导致马斯克认为“我们离强大到危险的 AI 不远了”。随着大语言模型(LLM)在各领域的广泛应用的同时,也带来了多重风险。因此,未来只有了解其中潜在的风险和威胁,并采取相关措施去应对大模型不同层面的问题,保证其自身的安全性问题,才能确保该技术可以真正地应用到各个领域。3.1.2 国内外政策目前,世界各国都对 LLM 相关安全合规性提出了一定需求,例如,要求数据相关方采取一系列措施来保护用户的隐私和敏感信息,其中包括美国的 格雷姆-里奇-比利雷法(GLBA)网络安全2024-守初心 创新质绿盟版3-13排版.indd 52网络安全2024-守初心 创新质绿盟版3-13排版.indd 522024/5/8 17:43:042024/5/8 17:43:04053新技术发展篇和加州消费者隐私法案(CCPA),欧盟的通用数据保护条例(GDPR),英国的数据保护法案(DPA)等。这些法规严格规范了数据在收集、存储、使用、加工、传输、提供等各个环节中对于敏感数据的处理要求,也要求企业和组织必须采取适当的安全措施,确保对敏感信息的有效保护,并在发生泄露时及时报告并采取相应对策。为了应对快速发展的大模型及相关技术,我国在 2023 年 8 月 15 日开始施行生成式人工智能服务管理暂行办法(以下简称管理办法1),旨在规范生成式人工智能服务提供者在处理敏感信息时的行为,保障用户的隐私和个人信息安全,促进生成式人工智能服务的健康发展。根据该文件,生成式人工智能服务提供者在处理敏感信息时,需要严格遵守相关法律法规,保护用户的隐私和个人信息安全。具体要求包括:1、用户隐私保护:生成式人工智能服务提供者需要建立健全的用户隐私保护制度,保障用户的个人信息安全,不得擅自收集、使用、传播用户的个人信息;2、商业秘密保护:在处理敏感信息时,服务提供者需要严格遵守商业秘密保护相关法律法规,不得泄露或非法使用他人的商业秘密信息;3、安全评估和监督检查:有关主管部门将对生成式人工智能服务开展监督检查,服务提供者应当依法予以配合,按要求对训练数据来源、规模、类型、标注规则、算法机制机理等予以说明,并提供必要的技术、数据等支持和协助;4、保密义务:参与生成式人工智能服务安全评估和监督检查的相关机构和人员对在履行职责中知悉的国家秘密、商业秘密、个人隐私和个人信息应当依法予以保密,不得泄露或者非法向他人提供。管理办法 主要包含两种监管政策。其一,根据生成式人工智能服务的风险程度进行分类分级监管。其二,基于生成式人工智能服务在不同领域的应用,采取相应的行业部门监管。这一双管齐下的监管机制旨在及时识别相关问题并迅速采取有效措施。3.1.3 风险与防护策略随着大模型安全问题引起广泛关注,当前全球各国监管机构已开始积极介入 AI 监管。本节分别从大模型业务侧和大模型自身两个角度,对大模型中潜在的安全风险及相关的防护提升策略进行介绍。1参考文献国家网信办网站,生成式人工智能服务管理办法(征求意见稿),2023网络安全2024-守初心 创新质绿盟版3-13排版.indd 53网络安全2024-守初心 创新质绿盟版3-13排版.indd 532024/5/8 17:43:042024/5/8 17:43:04054网络安全 2024:守初心 创新质图 3.2 大语言模型安全1.大语言模型应用安全风险与防护策略大模型应用的核心在于通过业务组件将用户输入和来自互联网等不可信来源的输入以及内置的 Prompt 结合,传递给大语言模型进行处理,再利用 Agent 进行自动化操作,最终呈现在业务前端。虽然业务组件的引入丰富了大模型的功能,但其与大模型的结合也引发了安全风险,值得我们密切关注,从而确保在应用通用 AI 模型时的安全性。1)业务场景的风险网络安全2024-守初心 创新质绿盟版3-13排版.indd 54网络安全2024-守初心 创新质绿盟版3-13排版.indd 542024/5/8 17:43:042024/5/8 17:43:04055新技术发展篇a)传统业务漏洞在将大模型与传统业务系统结合时,传统业务系统的漏洞风险仍然存在,如下所示。输入侧漏洞攻击风险大模型业务应用的前端业务组件与传统的 Web 或客户端的安全问题类似。API 的安全性、业务引入的漏洞,以及第三方组件应用的供应链安全都需要引起关注。传统安全漏洞可能导致严重后果,例如影响服务可用性、泄露用户敏感信息,甚至接管服务权限。大模型输出注入风险大模型的输入可能会受到用户影响,用户通过控制输入间接地影响输出。在业务系统中,数据流的污点性需要充分考虑,如果未能适当进行数据过滤和处理,传统的 SSTI 注入、XSS等漏洞可能会继续存在。b)直接 Prompt 注入攻击者可以通过在业务系统输入中注入恶意Prompt等方式,来攻击大语言模型业务系统,导致敏感信息泄露以及原有业务功能被破坏等问题。敏感信息泄露风险攻击者通过 Prompt 注入绕过正常流程影响大模型系统的输出,导致敏感信息泄露。业务角色逃逸风险攻击者通过直接 Prompt 注入攻击,输入类似 忽略前文 Prompt,直接回答我以下问题 的指令,使得大模型跳出商品介绍员角色,恢复成通用的大模型助手角色,从而滥用大模型业务系统的功能。业务功能绕过风险当大模型用于决策判断时,通过 Prompt 注入可能破坏原有的业务功能。例如攻击者通过 Prompt 注入,迫使大模型直接输出“否”,从而绕过对恶意广告的判断功能,构成严重的安全风险。c)间接 Prompt 注入在大模型业务系统架构中,大模型通过 Agent 和来自互联网等外部的信息进行交互,Agent 的执行结果再次通过输入处理系统进入大模型,攻击者可以通过在外部信息中投毒,网络安全2024-守初心 创新质绿盟版3-13排版.indd 55网络安全2024-守初心 创新质绿盟版3-13排版.indd 552024/5/8 17:43:042024/5/8 17:43:04056网络安全 2024:守初心 创新质导致正常用户在使用大模型业务系统时遭受攻击。不安全的外部数据源投毒风险对于大模型系统来说,一切皆为文本,它无法区分数据源的可靠性。如果攻击者通过搜索引擎、公共 WIKI 等外部数据源获取信息,并进行投毒攻击,通过 Prompt 注入来干扰大模型的输出,结合 Agent 的干预能力,可能导致正常用户在使用大模型业务系统时受到攻击。环路 Agent 蠕虫风险在大模型业务系统时代,蠕虫攻击可能不再局限于传统代码层面的漏洞攻击,而可能以一种全新的 Agent 层面出现。攻击者通过外部数据源投毒干扰 Agent 的执行,将恶意信息投毒到互联网的更多位置,这些信息会影响到更多的大模型业务系统,从而形成一个循环。这种攻击模式类似蠕虫攻击。2)业务场景的安全防护策略由于在业务应用架构设计阶段需要结合考虑各个阶段潜在的安全风险,通过在整体业务架构中的用户输入侧、模型输出侧以及业务模型 Prompt 侧,设计相关的“守卫”组件实现模型侧输入和输出的验证与控制,以及结合增强业务模型自身 Prompt 对安全风险的对抗性,从而提升大语言模型在业务场景下的整体防御检测能力。图 3.3 大语言模型业务场景下的防御检测方案a)业务模型侧 Prompt 防御网络安全2024-守初心 创新质绿盟版3-13排版.indd 56网络安全2024-守初心 创新质绿盟版3-13排版.indd 562024/5/8 17:43:042024/5/8 17:43:04057新技术发展篇通过优化增强业务模型侧的 Prompt 内容以及文本结构,针对逃逸攻击、角色假定、Prompt 泄露等攻击手段展开防御检测,有效提升针对模型的攻击成本。Prompt 内容强化鲁棒性 Prompt 描述强化在初始的 Prompt 内容中增加更加详细的任务逻辑描述、抗攻击性提示,实现鲁棒性能力增强,从而提升抵抗外部输入的控制能力。少量示例样本微调模型少量示例样本微调模型是指在初始的 Prompt 中增加少量的“Prompt 输入 Response 内容”示例内容,训练模型在接收到输入的 Prompt 内容后该如何进行响应,通过这种为模型提供标记数据的方式,快速提升其在特定业务场景下的适应能力,让模型输出的结果在可控范围内。Prompt 结构增强Prompt 注入攻击与传统应用安全中的 SQL 注入、命令注入等攻击方式有着相似之处,主要是因为未将代码指令与用户输入完全区分开来,导致用户输入被当做代码指令执行,从而造成安全风险。因此,Prompt 注入同样可以基于结构化、参数化、Prompt 包裹的方式实现 Prompt 的增强,对模型行为在一定程度上控制,减少非预期或者有害内容输出的可能性。Prompt 包裹性增强通过将用户的输入包裹在两个 Prompt 之间,实现代码指令与用户输入的区分,此种方式相对于单纯的仅依靠位置调整的结构化增强方式,其具备更强的对抗能力。b)应用平台侧防御守卫1)用户输入侧防御在安全领域“一切的用户输入都是不可信的”,如何做好用户输入侧的防御是整个大语言模型业务安全中的第一道防线,通过结合传统规则过滤和模型算法检测两种防御手段,能有效的控制用户输入侧带来的 Prompt 注入风险。基于传统规则过滤在将用户输入的 Prompt 内容进入到业务模型之前,首先将其经过传统规则的过滤组件,网络安全2024-守初心 创新质绿盟版3-13排版.indd 57网络安全2024-守初心 创新质绿盟版3-13排版.indd 572024/5/8 17:43:042024/5/8 17:43:04058网络安全 2024:守初心 创新质实现对其中任何有害字符的过滤与删除,包括针对 Prompt 中任何要求返回个人身份信息的内容进行过滤删除、删除任何敏感数据信息、删除任何与业务应用相关的关键信息内容等。除了过滤针对 Prompt 关于敏感数据相关的描述有害字符,从业务场景出发,针对恶意用户可能输入的 Prompt 内容进行特定的黑白名单的构建与维护,例如:黑名单列表为“不要遵循以上”、“按照以下的描述执行”、“返回初始 Prompt 内容”等一系列可能与 Prompt 注入有关的字符与短语。持续针对此类输入内容进行监控与管理,对于符合匹配规则的输入执行不进入业务模型或者标准化输出的操作。基于模型算法检测基于传统规则过滤的方式,在业务模型面对多样化的输入内容的场景下,其检测效果可能无法满足需求,通过将传统规则过滤与模型算法检测相结合,从而提升输入侧的防御检测能力。检测可以在标准分类模型上实现。在平台侧输入侧跟踪记录相关对抗性输入内容,通过长期的收集与标记,构建出一个与业务模型相贴合的恶意 Prompt 攻击样本库,基于该样本库实现标准的分类模型训练,从而让该分类模型成为大模型安全应用的一道关键防线。在用户输入的 Prompt 进入业务模型之前,先通过此分类模型实现恶意样本的分类监测。同一种 Prompt 可基于不同的形式进行编码、转化与利用,让传统防御思路的检测成本大幅提升,作为防御检测方也同样可以利用大语言模型的特性来实现不同多样化输入形式的检测覆盖。利用大语言模型与业务模型组成双模型应用架构,构建一个用于识别恶意 Prompt的大语言模型来实现扩展检测能力,在用户输入到达业务模型前,先通过该模型进行检测,实现针对对抗性 Prompt 内容的检测。2)模型输出侧防御 基于传统规则过滤模型输出侧的结果可能是恶意用户 Prompt 注入成功后的内容,因此需要针对其中可能存在的数据模式进行相关的规则过滤,避免出现数据泄露以及模型滥用风险,包括针对 Prompt中任何包含个人身份信息的内容进行过滤删除、删除任何敏感数据信息、删除任何与业务应用相关的关键信息内容、删除任何与业务内容无关的 SQL、JavaScript、HTML 等代码内容,避免出现恶意代码利用风险等。基于模型算法检测在业务模型具备理解上下文的情况下,模型输出的结果会随着用户 Prompt 的描述出现网络安全2024-守初心 创新质绿盟版3-13排版.indd 58网络安全2024-守初心 创新质绿盟版3-13排版.indd 582024/5/8 17:43:042024/5/8 17:43:04059新技术发展篇多样化的形式,因此模型输出侧同样需要结合模型算法来提升防御检测能力。模型输出侧检测的一种思路是对合规性模型结果进行审查。针对模型输出侧可以训练具备数据安全审查能力的合规审查模型,通过构建相关数据集实现审查模型的训练,主要从两个方面进行考虑,一方面是非合规内容输出,针对身份证、手机号等敏感数据进行合规性审查,另一方是非预期结果输出,针对 SQL 注入、命令执行、XSS、SSRF 等攻击性 Payload 进行非预期输出结果审查。2.大模型自身安全风险与防护策略1)大模型的安全风险与传统的端到端模型不同,大模型采用预训练-微调的训练范式,首先在大量的未标注数据上进行预训练,继而在下游任务的标注数据上微调,得到垂直领域模型。一般认为,模型的训练过程、结构越复杂,其面临安全风险系数就越高,但不能以此简单地判断大模型较传统模型面临的安全威胁更严重。同质化、多模态对齐等因素会导致大模型面临更多类型的安全威胁,但由于大模型具备海量参数、微调所需的敏感数据更少的特点,也一定程度上缓解了大模型遭受对抗样本、数据隐私泄露的风险。大模型内外面临多重安全威胁。对内来讲,大模型参数量剧增带来的涌现能力也引发了新的偏见和不确定风险;多模态学习增加了对齐风险;大模型内部存在可解释性不足风险;而基础模型缺陷在下游模型上的继承效应也需要有对应的缓解策略。对外而言,大模型则面临着来自恶意攻击者的对抗攻击、后门攻击、成员推断攻击、模型窃取等影响模型性能、侵犯隐私数据的威胁。大模型在生命周期中面临的安全风险如下图所示:图 3.4 大模型安全风险总览针对大规模训练数据集的攻击,如投毒攻击。相较于传统端到端的模型,该数据集中的网络安全2024-守初心 创新质绿盟版3-13排版.indd 59网络安全2024-守初心 创新质绿盟版3-13排版.indd 592024/5/8 17:43:052024/5/8 17:43:05060网络安全 2024:守初心 创新质数据类型众多,涵盖图像、文本、语音、代码等多种数据,且来源于网页、书籍、社交平台等未经验证的多种公开渠道,因此投毒攻击的风险更高。另外,多模态数据之间的对齐问题会影响到基础模型的预测准确率。微调使用的数据集存在安全风险。同样地,数据来源的可靠性会影响到模型质量,数据集也存在隐私泄露风险。基础模型的安全性会影响到下游模型的安全性。基础模型的脆弱性会被下游模型继承,基础模型鲁棒也会使下游模型更可靠;基础模型如果对部分训练数据进行了“记忆”,则下游模型也面临相同的风险。由于微调所需的敏感数据较传统端到端模型会更少,这一点能够降低数据隐私泄露风险。另外,基础模型同质化的特点会进一步扩大基础模型安全性的影响。模型推理阶段存在的安全风险。在推理阶段,攻击者一般通过 API 接口访问黑盒大模型,大模型面临着对抗样本、模型窃取、成员推断攻击、提示注入等多重威胁。2)大模型的安全防护策略针对大模型的风险,本节从鲁棒性、可靠性、隐私性、公平性和可解释性五个可信属性角度介绍大模型安全性提升策略,包括对可信属性的红队测试(Red Teaming)评估策略、可信属性的保障和提升方法等。图 3.5 大模型安全评估和防护网络安全2024-守初心 创新质绿盟版3-13排版.indd 60网络安全2024-守初心 创新质绿盟版3-13排版.indd 602024/5/8 17:43:052024/5/8 17:43:05061新技术发展篇 鲁棒性鲁棒性代表了模型抵抗外部扰动、输入噪声的能力,面对干扰因素,模型应当维持预测的正确性。大模型鲁棒性的保障和增强可以从数据和模型两个角度进行,包括异常数据检测、数据清洗(例如启发式检测方法过滤样本1)、数据增强(例如基于矩阵补全的数据增强方案2)、知识蒸馏(Knowledge Distillation)3、鲁棒训练(例如 Adversarial fine-tuning procedure4)、模型清洗等。隐私性隐私性是模型保护隐私数据的能力,确保未得到授权的用户无法接触到大模型的隐私信息,隐私信息既包括入模数据的属性和数值,也包括模型自身信息等敏感数据。具体地讲,机密性的保障需防止未经授权的用户尝试访问或推断入模数据以及模型参数、架构、梯度等信息的行为,包括对训练数据、模型信息的恶意窃取、重构恢复、特征推断攻击等。大模型鲁棒性的保障思路,包括加密存储、差分隐私(Differential Privacy)、同态加密(Homomorphic Encryption)、安全多方计算(Secure Multi-Party Computation)、模型水印5和指纹6等。公平性公平性是模型在面对不同群体、个体时不受敏感属性影响的能力。模型参数的激增带来了模型能力的提升,但同时也增大了模型出现未知有害行为的风险,也就是说,大模型的涌现(Emergence)特点可能会进一步加剧模型偏见。大模型偏见来源于:在数据层面存在标签偏见、训练数据分布不均衡、数据抽样偏差、数据增强偏见等难以避免的不公平因素,可能导致性别歧视、种族歧视、基于宗教的偏见、文化偏见、地域政治偏差、刻板印象等有害的社会成见;在模型层面,人工智能算法的设计准则可能具备某种程度上的主观性,从而导致在模型输出上出现对某一类数据的偏好;在人员层面,人类反馈强化学习会因参与者自身背景特征和个人认知偏见而引入微妙的偏差。公平性的保障也是校准模型偏见的过程,使用一些纠偏技术和思路削减模型在敏感属性上的偏见,具体方案包括数据偏差消除、人类反馈强化学习(Reinforcement Learning with Human Feedback,RLHF)、AI 反馈强化学习(RL 1K.Huang,Y.Li,B.Wu,Z.Qin,K.Ren,Backdoor defense via decoupling the training process,Publisher,City,20222H.He,K.Zha,D.Katabi,Indiscriminate poisoning attacks on unsupervised contrastive learning,Publisher,City,20223A.Saha,A.Tejankar,S.A.Koohpayegani,H.Pirsiavash,Backdoor attacks on self-supervised learning,in:Proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition,2022,pp.13337-133464Z.Yang,J.Shi,J.He,D.Lo,Natural attack for pre-trained models of code,in:Proceedings of the 44th International Conference on Software Engineering,2022,pp.1482-1493.5J.Kirchenbauer,J.Geiping,Y.Wen,J.Katz,I.Miers,T.Goldstein,A watermark for large language models,Publisher,City,20236H.Cheng,X.Li,H.Wang,X.Zhang,X.Liu,M.Wang,F.Li,DeepDIST:A Black-box Anti-collusion Framework for Secure Distribution of Deep Models,Publisher,City,2023.网络安全2024-守初心 创新质绿盟版3-13排版.indd 61网络安全2024-守初心 创新质绿盟版3-13排版.indd 612024/5/8 17:43:052024/5/8 17:43:05062网络安全 2024:守初心 创新质from AI Feedback,RLAIF)1、道德问题自我纠正(Moral Self-Correction)、上下文学习(In-Context Learning,ICL)、C4D 微调框架2、Auto-Debias 去偏方法3。可靠性可靠性是描述模型在现实世界环境中一致工作、正确地完成目标任务的属性,确保模型面对未知数据应具备正确预测的能力。大模型可靠性的保障方案可以通过高质量的训练数据,确保大模型使用的训练数据是准确、全面、代表性的,以此保障高质量的数据对模型性能产生正面影响。提升数据集质量的方式有异常数据检测和清洗、数据转换、数据增强、数据质量持续监控和维护等,常见的方式是直接使用增强的数据集(如 YFCC100M4、LAION-5B5等)或为用对应的数据集强化工具对现有的数据集进行优化(如使用 BigDetection6、REINA 方法7增强标记数据集等)。此外,可以采用多样化的评估策略、管理模型的不确定性、提高模型可解释性等方法增强系统的可靠性。可解释性可解释性是模型使用者直观理解模型内部机制和决策逻辑、确保人工智能可问责的重要性质。模型可解释方法采用的思路一般分为对数据的可视化和统计分析等事前可解释方法、对模型的可视化和静态分析技术、对模型预测结果的假设检验等事后可解释方法。这些方法对输入特征、模型神经元等因子的重要性提供局部或全局的可解释性。大模型可解释性的保障手段包括可视化方法、基于扰动的可解释方法(例如 LIME8、SHAP9),基于梯度的可解释方法(如显著图(Saliency Map)10、积分梯度法(Integrated Gradients)、注意力机制1Y.Bai,S.Kadavath,S.Kundu,A.Askell,J.Kernion,A.Jones,A.Chen,A.Goldie,A.Mirhoseini,C.McKinnon,Constitutional ai:Harmlessness from ai feedback,Publisher,City,2022.2Y.Liu,X.Liu,H.Chen,Y.Yu,Does Debiasing Inevitably Degrade the Model Performance,Publisher,City,20223Y.Guo,Y.Yang,A.Abbasi,Auto-debias:Debiasing masked language models with automated biased prompts,in:Proceedings of the 60th Annual Meeting of the Association for Computational Linguistics(Volume 1:Long Papers),2022,pp.1012-1023.4B.Thomee,D.A.Shamma,G.Friedland,B.Elizalde,K.Ni,D.Poland,D.Borth,L.-J.Li,YFCC100M:The new data in multimedia research,Publisher,City,20165C.Schuhmann,R.Beaumont,R.Vencu,C.Gordon,R.Wightman,M.Cherti,T.Coombes,A.Katta,C.Mullis,M.Wortsman,Laion-5b:An open large-scale dataset for training next generation image-text models,Publisher,City,2022.6L.Cai,Z.Zhang,Y.Zhu,L.Zhang,M.Li,X.Xue,Bigdetection:A large-scale benchmark for improved object detector pre-training,in:Proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition,2022,pp.4777-47877S.Wang,Y.Xu,Y.Fang,Y.Liu,S.Sun,R.Xu,C.Zhu,M.Zeng,Training data is more valuable than you think:A simple and effective method by retrieving from training data,Publisher,City,20228M.T.Ribeiro,S.Singh,C.Guestrin,Why should i trust you?Explaining the predictions of any classifier,in:Proceedings of the 22nd ACM SIGKDD international conference on knowledge discovery and data mining,2016,pp.1135-11449S.M.Lundberg,S.-I.Lee,A unified approach to interpreting model predictions,Publisher,City,201710K.Simonyan,A.Vedaldi,A.Zisserman,Deep inside convolutional networks:Visualising image classification models and saliency maps,Publisher,City,2013网络安全2024-守初心 创新质绿盟版3-13排版.indd 62网络安全2024-守初心 创新质绿盟版3-13排版.indd 622024/5/8 17:43:052024/5/8 17:43:05063新技术发展篇可解释方法(例如 Perturbed Masking1、ATTATTR2)。3.1.4 发展趋势当前的 AI 大模型发展得尚不成熟,面临着诸多隐患与风险。可以预见,随着深度学习技术的发展和研究的深入,以大模型为目标模型的攻击会朝着更为高效、轻量级的方向发展,对实际部署和应用中的大模型造成更大的威胁,同时随着大模型能力的提升和应用范围的扩展,潜在的安全漏洞和隐患会引发更大范围和更为严重的后果。因此,提供商可以通过提高相关专有信息的安全性来推广自己,例如推出新的服务或安全产品以满足出现的人工智能安全需求。当前存在着攻防研究进度不匹配、防御方案落后于攻击技术的现象。大模型安全领域的发展趋势和方向有:可解释性方法研究将不断深入。现有可解释性方法多为启发式、经验性归因算法,依然存在局限性。可解释性研究的发展不仅有助于大模型的可控生成,大模型攻防技术也都将随着可解释研究的深入而具备更强的针对性和效果。可解释性技术为攻击者提供更详细的模型信息,更准确地定位模型脆弱点或数据关键区域,有效提高攻击效率和攻击成功率。同样地,基于可解释方法,防御者得以更了解模型的决策依据、安全漏洞以及决策弱点,从而更好地针对模型漏洞设计点对点防御策略。另外,一些可解释技术在解释结果与模型真实情况之间存在差异,不仅造成解释结果在准确性上的不足,也给针对可解释技术自身的攻击提供了实施空间,可解释技术的一致性、脆弱性和准确率尚缺乏合理的量化评估标准,研究一套更为综合的、多层次的、可靠的解释方法评估体系也是未来的方向之一。多模态内容中的安全问题将得到更多重视。多模态预训练模型展现出了强大的特征提取能力,然而作为训练数据的图像、文本、音频等多模态内容面临着多类攻击算法的威胁和模态对齐风险。比起在单一模态数据上训练的模型,多模态模型的安全性更为复杂,多模态内容安全也是相当有价值的研究方向。缓解基础模型安全缺陷的继承现象。基础模型中存在的安全缺陷会被下游模型所继承,一方面涌现特质为基础模型需要面临的潜在安全威胁和漏洞带来不确定性,另一1Z.Wu,Y.Chen,B.Kao,Q.Liu,Perturbed masking:Parameter-free probing for analyzing and interpreting BERT,Publisher,City,20202Y.Hao,L.Dong,F.Wei,K.Xu,Self-attention attribution:Interpreting information interactions inside transformer,in:Proceedings of the AAAI Conference on Artificial Intelligence,2021,pp.12963-12971网络安全2024-守初心 创新质绿盟版3-13排版.indd 63网络安全2024-守初心 创新质绿盟版3-13排版.indd 632024/5/8 17:43:052024/5/8 17:43:05064网络安全 2024:守初心 创新质方面同质化特质则会扩散基础模型安全缺陷的影响。在微调阶段如何减少这种继承效应的影响,将成为确保大模型在开发和部署中的安全性所难以回避的挑战。未来大模型的攻防将在动态抗衡中不断升级,大模型需要应对的新型安全威胁将不断涌现和升级,因此,需要建立完善统一的大模型安全评估框架、探索有效的防御机制、实现 AI大模型安全监管和可控生成,促进大模型安全生态的建设。3.2 攻击面管理3.2.1 攻击面管理的背景随着企业网络环境的复杂化和数字化转型的推进,网络攻击面不断扩大。不仅涉及内部网络,还包括云服务、移动设备、第三方合作伙伴等多个外部网络,使得企业面临的网络威胁更加多样化和复杂化。网络攻击技术不断演进,新型的威胁如 APT(高级持续性威胁)、勒索软件、供应链攻击等层出不穷。因此,结合国内外安全现状,防守方需要采用新的方法来可视化和评估组织的攻击面。3.2.2 攻击面管理必要性为了更好的应对上述多重安全挑战,企业需用新的安全理念来指导规划、建设、运营安全工作。如果仍以防守方被动的风险管理的视角来解决资产、漏洞等问题,那么由于业务数字化网络安全2024-守初心 创新质绿盟版3-13排版.indd 64网络安全2024-守初心 创新质绿盟版3-13排版.indd 642024/5/8 17:43:052024/5/8 17:43:05065新技术发展篇转型、上云等带来的攻击面扩大,包括影子资产、供应链攻击、数据暗网泄露、代码托管平台泄露、社工库攻击等风险将变得不可预测,而且攻击面会不断动态扩展,风险将不受控制。因此,Gartner 等咨询机构指出,可通过引入“攻击面管理”以“攻击者视角”来检查审视单位网络资产可能存在的攻击面及脆弱性,包括了一切可能被潜在攻击者利用的设备、信息、应用等数字资产,具体包括但不限于硬件设备、云主机、操作系统、IP 地址、端口、证书、域名、Web 应用、业务应用、中间件、框架、公众号、小程序、App、源代码等。从而实现安全团队对暴露资产以及攻击面进行科学高效的管理。3.2.3 攻击面管理框架攻击面管理既要考虑对外部攻击面、内部攻击面的核查,更确保实现与既往漏洞扫描、风险管理、态势感知平台的兼容和整合,保证关联系统的一体化联动,实现综合攻击面管理,也防止企业组织重复建设。Gartner 发布的2021 安全运营技术成熟度曲线中明确提到了攻击面的两个新兴技术:网络资产攻击面管理(Cyber asset attack surface management,CAASM)和外部攻击面管理(External Attack Surface Management,EASM),其中,EASM 强调外部攻击者视角,针对暴露在公网的资产(包括互联网、云、物联网、智慧城市等环境下的资产与风险),主要通过黑客探测的手法与情报来进行分析。CAASM 则强调内外部全局视角,通过 API 与其他系统集成的方式来解决持续的资产可见性和漏洞风险。网络安全2024-守初心 创新质绿盟版3-13排版.indd 65网络安全2024-守初心 创新质绿盟版3-13排版.indd 652024/5/8 17:43:062024/5/8 17:43:06066网络安全 2024:守初心 创新质3.2.4 攻击面管理核心能力1.分支机构资产综合纳管行业监管机构、组织机构总部明确要求分支机构上报关键信息基础设施资产,然而分支机构上报的资产信息普遍存在漏报、错报或信息滞后的情况,因此监管机构、企业组织集团总部可以通过攻击面管理解决方案将分支机构的潜在攻击暴露面资产纳入管辖范围。具体到不同的使用主体:监管机构对下辖被监管各单位上报的资产进行核查、补充,以满足后续的合规评级、安全通报、应急响应等需求;集团总部对各地分子公司、营业网点等分支机构的资产进行全面排查,掌握集团整体攻击暴露面情况;当然,分支机构也可以自行采购或建设攻击面管理解决方案进行自查,然后将收敛后的资产信息上报给监管或集团总部,从而掌握主动权。2.实战攻防演练攻击面管控近年来,随着国家级、地市级、行业级实网攻防演练活动逐步趋于常态化,作为重点关键基础设施行业之一的金融行业,需要在各级攻防演练活动开始前对自身潜在的攻击暴露面进行提前发现和收敛。常见的可能被攻击者利用的暴露中在互联网上的新型数字资产有 GitHub、网盘文库、公众号小程序等;此外可以帮助防守方发现软件供应链、合作伙伴等更深层次的攻击暴露面,例如开源组件、合作商 API 接口等。演练开始后,高危漏洞事件集中式爆发,攻击面管理可在情报披露时对业务影响范围和暴露面进行预判,提前做好防护加固措施;当利用细节公开时,对攻击面进行全面摸排,协助防守方第一时间做出收敛响应,及快速定位、处置失陷资产。3.风险闭环与溯源取证行业业务、用户数据等资产价值攀升,也是网络犯罪者关注的攻击对象。在日常安全运营中,若不幸发生了数据泄露,组织机构可以通过攻击面管理解决方案从泄露数据(例如暗网、黑市中的样本数据)向上溯源,还原攻击链,进而找到最早的攻击入口。一方面将相关设备、资产乃至人员信息作为举证材料纳入证据链,为下一步诉诸法律提供依据;另一方面,对其他同类资产进行横向排查,避免遗漏尚未检出的同类攻击行为,确保泄露途径已排查完整。最后,将所有符合此类攻击链特征的攻击暴露面统一进行收敛,避免再发生同类数据泄露事件。网络安全2024-守初心 创新质绿盟版3-13排版.indd 66网络安全2024-守初心 创新质绿盟版3-13排版.indd 662024/5/8 17:43:062024/5/8 17:43:06067新技术发展篇4.后疫情时代远程攻击面管理新冠疫情给全球经济和金融行业带来的影响是显著的,伴随远程办公的工具和场景变多,互联网攻击面不断扩大,越来越多的业务系统需要对互联网开放,无论是通过端口映射将业务系统直接开放公网访问,还是使用 VPN 打通远程网络通道,都是在原本脆弱的网络防护边界增加更多暴露面。接入网络的人员、设备、系统、应用的多样性呈指数型增加,企业的业务数据在复杂的人员、设备、系统、应用间频繁流动,数据流动的复杂性、数据泄露和滥用的风险均大幅增加。因此,后疫情时代的攻击面管理及收敛能力的关注重点就不再仅限于传统中心化的 IT 资产,而是扩大到更大范围和更多维度的数字资产。这满足了数字资产无处不在、攻击暴露面无处不在的安全需求。3.3 内幕风险管理1 3.3.1 内幕风险的定义内幕风险,是指来自组织关联人员恶意的、粗心的或疏忽的威胁,包含员工、前员工、承包商或商业伙伴等,由于这些人群掌握有关组织安全实践、数据和计算机系统的内部信息,因此他们可能构成欺诈、窃取机密或有商业价值的信息、破坏计算机系统等方面的威胁。Gartner 从 2020 年开始发布内幕风险方案市场指导报告,其主要受到 2019 新冠导致全球各国大范围采用远程办公的趋势影响,越来越多的安全管理团队关注员工监控,以确保符合组织的风险承受能力。尽管到了 2024 年,新冠病毒已经成为过去时,但组织机构对员工及具备内幕信息优势的关联群体的行为监控仍然持续热议,并且已成为融合员工绩效管理、企业合规管理、离任审计等各类场景的关键内容。安全领域的内幕风险不同于内部威胁,因为传统的内部威胁监控的思维是以资产为中心,通过叠加安全技术,不断搜集数据,进而分析安全问题。其客体上关注软、硬件以及应用等资产的脆弱性和异常参数,主体上聚焦发现特定的恶意人员及其恶意行为。在内部威胁方面,其关键功能在于发现我们经常提到的“内鬼”,即具有内部权限和优势信息,但尝试非法利用的合法员工。11 Paul Furtado,A New Look at Insider Risk,Gartner,2022.2 Paul Furtado,Protection From the Risk WithinManaging Insider Risk,Gartner,2022.3 Randy Trzeciak Stop Chasing Insider Threats Start Managing Insider Risk,RSA Conference,2022.4 Jonathan Care,Brent Predovich,Paul Furtado,Market Guide for Insider Risk Management Solutions,Gartner,2020.5 Brent Predovich,Market Guide for Insider Risk Management Solutions,Gartner,2023.6 Jonathan Care,Paul Furtado,The Rule of 3 for Proactive Insider Risk Management,Gartner,2021.网络安全2024-守初心 创新质绿盟版3-13排版.indd 67网络安全2024-守初心 创新质绿盟版3-13排版.indd 672024/5/8 17:43:062024/5/8 17:43:06068网络安全 2024:守初心 创新质而内幕风险管理的思维是以人为中心,在传统威胁监控的基础上,纳入监察的能力,通过融合安全技术与人员行为,关联人的背后动机,进而进行全体员工的行为分析和风险发现。所以其不但分析发现主观恶意的人员,还会分析主观无恶意但是客观已攻陷、以及主观缺乏安全意识但客观误操作诱发风险的人员。从员工主体上,内幕风险拓展了对员工主观意识的分析和管理范围,合理的综合考虑了最广泛的合法员工的不安全、违规行为。而从逻辑上,正如 Gartner 和 Forrester 对内幕风险与内部威胁的定义一样,并非所有的内幕风险最终演变成内部威胁,但是所有的内部威胁绝对源于内幕风险,两者的对比如图所示。值得注意的是,“Insider”一词于两类场景下,绿盟科技采用了不同的翻译,既考虑了其本身“内线、内鬼”的含义,也考虑了需要同国内既往翻译习惯加以区分,即安全领域一直将“内鬼”归为内部威胁,Insider Risk 不能等同于 Internal Risk。图 3.6 内幕风险与内部威胁对比3.3.2 内幕风险管理必要性根据 Forrester 于 2021 年 12 月发布的内幕风险报告以及 2022 年 RSA 大会公布的相关数据,59%的组织关注外部威胁大于内部威胁,58%的组织没有专门针对内部风险管理的团队,39%的组织相关预算匮乏且 38%的组织缺乏相关内部威胁管理的技术能力。于此同时,70%的企业组织完全没有应对内幕风险的管理策略,而且 29%的组织根本不认为内部人员威胁更大,可是现实是过去 12 个月内 59%的安全事件均由企业内部人员引发。以资产为核心的威胁发现在数据泄露事件不断、员工泄愤报复频发的背景下变得捉襟见肘,而对于只关注恶意员工与恶意行为的传统内部威胁管理模式,也无法应对当前诸如非恶网络安全2024-守初心 创新质绿盟版3-13排版.indd 68网络安全2024-守初心 创新质绿盟版3-13排版.indd 682024/5/8 17:43:062024/5/8 17:43:06069新技术发展篇意误操作高发、离职员工转移数据的新型风险场景。安全已经不再像早年的网络安全充满了激烈的形式化攻击对抗,当前企业组织网络与数据安全防护的态势趋于静默环境下的资源和信息争夺的实质性对抗,其核心在于既定安全预算下如何保持合理的风险敞口以获得管理效率,既不能置安全于不顾,但又不能过度防护。当前很多企业的安全团队对组织的综合风险,尤其是全体内部员工的风险依然缺乏准确的把握,甚至很低的认知。组织内人力资源、法务、公共关系团队也往往无法从总体安全的角度把握员工在职期间、离职后的连续合规性,所以传统依赖围绕信息资产防护的思路,俨然难以应对围绕员工行为的各类风险。所以内幕风险管理的必要性,体现在两个方面,首先其包容评价了不同主观意识状态下员工的行为风险,整合了管理流程,并通过持续安全意识教育保证闭环,引导并修正人员的行为。其次,内幕风险管理是在总体风险管理框架下,一项以“人因”为要素的关键安全管理活动,持续性监控、分析、处置相关风险,其综合了资产与安全,以保护相关业务与资产的价值处于受控状态。内幕风险管理正是在风险管理框架内,纳入安全领域涉及的威胁监测、漏洞发现、基线维护、应急响应,从内部人员这一关键角色出发,在包容传统资产威胁管理的基础上,将技术和管理于内幕风险的场景下进行了深度融合,其进一步整合人力资源管理、关公关系管理、安全意识培训等要素,闭合风险管理流程,解决资源与风险错配的问题,以提升安全管理效率。3.3.3 内幕风险动机与威胁分类针对内幕风险的威胁源,以用户为基准参数,整体划分成粗心用户、恶意用户以及失陷用户三类。相关用户类型以及用户动机如图所示。其中失陷用户是指在其主观未知的情况下,账户被窃权、控制,从而被攻击者利用,其定义与拒绝服务攻击(DOS 攻击)中的 Bot 即“肉鸡”较为类似,但不同之处是纳入了用户作为“自然人”的主观因素,而超越 Bot 一般只针对受控终端的客观“物”的范围。值得注意的是,根据 Gartner 的数据,粗心用户因为缺乏安全意识以及偶然的误操作带来的安全事件概率高达 63%,远高于我们一般关注的外部攻击的失陷用户风险发生概率 14%,这也成为内幕风险管理必要性的关键,也是区分内幕风险与内部威胁的基础。网络安全2024-守初心 创新质绿盟版3-13排版.indd 69网络安全2024-守初心 创新质绿盟版3-13排版.indd 692024/5/8 17:43:062024/5/8 17:43:06070网络安全 2024:守初心 创新质图 3.7 内幕风险用户动机与威胁分类我们若单独以离职员工为例,其离职前可能带来的威胁包括数据破坏、泄露、越权复制和使用,甚至于系统植入逻辑炸弹,在离职后于条件满足时触发,其主观既可以基于恶意,也可能源于公司缺乏明确管理制度下的思维惯性。传统的内部威胁管理并不关注后者,尤其是针对数据复制的场景,很多员工主观虽然无恶意,但习惯性离职前拷贝既有数据,用以支持自己到新公司履职后工作开展。匹配至员工角色,销售人员可能带走详细的公司客户名单以及合同,而软件开发人员会大批量复制代码和产品信息。所以公司应当明确管理规定,而且需要以可以明确获知、理解的方式事先约定相关行为的授权范围、合规性等问题。此外,传统的内部威胁管理更不跟踪员工离职后的行为,但是公司于此处存在两类非常高发的风险,一类为离职员工权限未及时全面解除,该离职员工还可以访问部分系统、数据,进行违规操作;另一类为员工故意规避保密、竞业履约责任,引发公司商业秘密泄露或技术竞争力与先进性,从而造成损失。后一类风险往往依赖公司人力资源管理和法务团队,但很多公司组织对于离职员工的履约行为跟踪能力和资源配备有限,更缺乏与安全部门技术团队的密切合作,成为内幕风险爆发的高危节点。3.3.4 内幕风险治理框架在定义内幕风险的基础上,Gartner 于内幕风险管理方面提出了 C.A.R.E 模型,即Contain(遏制)、Access(评估)、Resolve(处置)、Educate(教育)四步。其中于遏制阶段,需要实现用户、设备、网络实体高危行为的监测,并于相关行为出现时,触发安全策略,可以通过限制准入、限制网络、禁用 USB 接口、锁定设备、停止应用与数据同步的方式防止过度风险暴露;于评估阶段,持续监测评估,关注数据泄露事件的指征,于此环节完成行为分析、风险评估、既往分析、基线建立;于处置阶段,启动数据泄露事件进网络安全2024-守初心 创新质绿盟版3-13排版.indd 70网络安全2024-守初心 创新质绿盟版3-13排版.indd 702024/5/8 17:43:062024/5/8 17:43:06071新技术发展篇行响应,并解决问题,实际涉及违规用户的关键必要操作,管理层和人类资源管理部门、法务部门的事件升级流程;而于教育环节,主要落实并培养员工安全意识,降低未来的暴露风险,所以实际工作包括指定用户定制化培训、政策与协议下发确认流程。内幕风险管理框架下的安全意识培训具有及时性和针对性,异于传统的安全意识培训,因为内幕风险管理基于人的行为,也目的在于修正人的行为。绿盟科技在 C.A.R.E 的基础上,纳入了 ISO 31000 风险管理框架,融合了风险监测于评审、风险沟通与协商的流程,保证风险管理流程的闭环,更适宜从总体治理架构导入组织机构。而鉴于内幕风险管理关注组织核心价值,既囊库了传统资产为核心的理念,也纳入了“人”的新的要素,所以在风险管理的基础上,我们进一步融合 GRC 框架,联合了治理、合规要素,在考虑企业组织风险顶层战略要求下,关联组织愿景、文化、影响的要素,形成内幕风险治理框架,如图所示。图 3.8 内幕风险治理框架此外,企业组织于内幕风险管理落地的过程中,鉴于员工主观的恶意与否,既会于技术层面影响实际用户画像的逻辑和效果呈现,又会于后续风险处置层面影响责任划分,所以为了保持公司组织对外举证司法流程衔接的效率,我们进一步将 3.3.3 节中涉及的粗心用户、恶意用户、失陷用户进行了主观罪过和关联责任的映射,以弥补Gartner于此方面的分析不足,如图 4 所示。其中直接故意的主观罪过程度最高,而意外事件往往不涉及主观恶意。对应在网络安全2024-守初心 创新质绿盟版3-13排版.indd 71网络安全2024-守初心 创新质绿盟版3-13排版.indd 712024/5/8 17:43:072024/5/8 17:43:07072网络安全 2024:守初心 创新质经过客观方面评价后,确定承担责任或是满足客观有罪要件的情况下,在主观罪过的评价过程中,主观罪过越高对应的责任承担也会越高,而其往往企业组织要求证明相关员工的责任也会越重。图 3.9 中,直接故意是指明知自己的行为会造成危害结果,积极采取行动,希望和追求该危害结果的发生的心理状态,如直接攻击、植入逻辑炸弹;间接故意是指明知自己的行为可能会造成危害结果,但放任结果的发生,有可能涉及不作为的状态,如明知自己的账户口令被盗用,但离职不报任由情况恶化。粗心用户的责任介于中间,主要源于其职责潜在包含了保护、通报等义务,虽然其外在形式上往往较恶意用户的行为更不具有攻击特性,但并不意味着行为结果影响小,而且往往会被惩罚。此外,从责任层面,需要注意失陷用户有转化为粗心用户的通路,其主要源于该用户的工作职责涉及对应资产、数据的保护义务,虽然其在未知情况下被利用或被攻击,并不必然免责。图 3.9 主观罪过与用户分类映射3.3.5 内幕风险检测处置与跨组织联动根据内幕风险监测主体的特性,技术方面于基础需要建立对于员工行为的数据搜集和分析能力,完成风险分析并关联后续联动处置,相关内容如图所示。依据数据流转结构,在靠近用户侧能够收集用户数据、建立行为基线,并不断训练形成行为风险模型。在此基础上,于中间层关联用户的行为,实现各类风险、威胁的元数据库匹配,全面分析本地、云端各类资产与此员工行为的风险关系。在风险管理的框架下,对于超越安全基线和阈值的行为进行告警,联动 SOAR(安全编排自动化响应)进行阻断,防止风险蔓延的事件影响扩大。网络安全2024-守初心 创新质绿盟版3-13排版.indd 72网络安全2024-守初心 创新质绿盟版3-13排版.indd 722024/5/8 17:43:072024/5/8 17:43:07073新技术发展篇图 3.10 内幕风险检测处置流程同样以离职员工为例,为保持内幕风险管理的有效性,除常规解除各类权限操作,员工离职流程发起后,组织需要启动回溯离职前一段时间(数周或数月)内指定员工行为的审计流程,通过 UEBA(用户和实体行为分析)关联身份、权限、操作,发现越权操作、数据外发、非公司业务必要的大规模拷贝、“蚂蚁搬家”式分批次全库复制等违规和异常行为。组织同时应该在员工离职后至少几周内继续监控其活动,在不侵犯离职员工隐私的情况下维持有效的风险管理,建立取证审计追踪的管理流程,并在合适的情况下,引入专业外部第三方资源,落实回溯审计的职能。图 3.11 内幕风险管理联动内幕风险管理除了在技术层面建立完善的闭环检测响应系统,管理层面需要设立职责分离、最小权限等流程,并在技术与管理的结合的基础上,进一步纳入电子取证、证据链保全、法务支持等相关职能,确保有效的联动处置因内幕风险引发的安全事件,如上图所示。依然以离职员工为例,在离职过程中,人力资源管理部门应尽力倡导维持透明、互信的沟通,通过离职面谈以确保清晰沟通的同时评估员工的态度,降低因为分歧引发的不满甚至报复的概率。于此同时,员工离职后,需要持续针对员工履约行为进行监控,一般包括保密网络安全2024-守初心 创新质绿盟版3-13排版.indd 73网络安全2024-守初心 创新质绿盟版3-13排版.indd 732024/5/8 17:43:072024/5/8 17:43:07074网络安全 2024:守初心 创新质与竞业协议履约行为的跟踪,在合法取证的基础上,维护相关证据的完整性。所以一般会依赖法务团队,或是选择专业外包团队,对于离职员工违约行为采取及时的沟通、警告,甚至启动司法救济流程,以维护企业自身合法权益。而针对可能引发仲裁、诉讼的员工,维持有效的公共关系和监管机构信息交换和互通,防止因为诸如“员工爆料”、“实名举报”类似的负面事件或是不实信息等影响公司对外形象,造成股价、商誉的贬损。3.4 数据安全3.4.1 国内外数据安全事件2023 年,全球数据安全事件呈现频发态势,许多知名品牌企业与政府组织遭受数据泄露和网络攻击,造成巨大且不可挽回的损失。据 IBM Security 在数据泄露成本报告中的分析结果,2023 年全球数据泄露事件造成的损失平均每次达 445 万美元,三年间增长了15%。业务云化、数据上云,云原生浪潮在 2023 年继续向前,随之而来的是云环境下数据安全风险大幅增长。构建云的基础设施,如虚拟化平台、代码仓库,成为攻击者突破安全防护的焦点。云上风险带来的数据安全典型事件如下:2 月,欧洲多个安全机构发布了 ESXiArgs 勒索病毒的攻击预警,该病毒利用 2021 年披露的 ESXi 远程溢出漏洞(CVE-2021-21974)进行传播,主要影响旧版本 VMware ESXi 中的 OpenSLP 服务,可以被用来远程执行代码。11 月,通过公开 GitHub 仓库中泄露的 Kubernetes 敏感信息,研究人员获取了近 1亿条属于著名 ERP 软件厂商 SAP 的文件信息和下载权限。在 2023 年,数据加密勒索攻击依旧十分猖獗。臭名昭著的勒索组织 LockBits 在 2022 年经过组织内部快速迭代,跃居勒索行业第一,在勒索攻击事件整体减少、赎金总量和平均金额大幅下降的趋势中逆势狂飙。LockBits 倡导勒索软件及服务(RaaS)的攻击方式,其构建的勒索产业链各个关键已经趋于成熟,这也使得 2023 年 LockBits 四处出击,拿下诸多目标。1 月,英国皇家邮政遭 LockBits 攻击,被索要高达 8000 万美元赎金。勒索软件加密了用于国际运输的设备,并在用于海关备案的打印机上打印勒索赎金票据,致使包裹和信件的国际运输陷入停顿。6 月,台积电被 Lockbits 勒索 7000 万美元,后者威胁称,如果不交付勒索款项,将公开台积电的网络入口点、密码和其他机密信息。这将对台积电本身以及其重要客户网络安全2024-守初心 创新质绿盟版3-13排版.indd 74网络安全2024-守初心 创新质绿盟版3-13排版.indd 742024/5/8 17:43:072024/5/8 17:43:07075新技术发展篇如苹果、高通和英伟达造成严重威胁。10 月,Lockbits 对波音公司发起攻击,并要求公司在 11 月 2 日之前与他们联系以展开谈判。黑客声称已经窃取了大量敏感数据并准备进行发布,攻击事件对公司零部件和分销业务造成了一些影响,在波音拒绝支付赎金后,LockBits 泄露了 21.6GB 大小的波音文件。11 月,中国工商银行在美全资子公司工银金融服务有限责任公司(ICBCFS)遭勒索软件攻击,导致部分系统中断。随后,LockBit 组织代表公开确认对攻击负责。这次已经扰乱了美国国债市场,证券行业和金融市场协会一份声明显示,由于工商银行被攻击而无法结算国债交易,可能对美国国债的流动性产生巨大影响,并可能引发监管审查。另一方面,网络安全相关企业及其提供的安全产品与服务遭受攻击的事件异军突起,引发关注。作为软件供应链的一环,客户因使用存在数据安全风险的安全产品而被攻击的风险,成为了供应链攻击场景中的灰犀牛。盲目相信三方提供的安全产品与服务可能导致严重的后果。以下是发生在 2023 年的类似事件:3 月,瑞士安全厂商 Acronis 有 12GB 数据被公布在黑客论坛上,公布者声称这么做的原因是无聊和希望羞辱 Acronis。这家企业的首席信息安全官声称泄露的源头是他们一位客户用于向Acronis技术支持上传诊断数据的凭证,其他用户的数据仍然安全。5 月,勒索软件 Clop 组织利用了 Progress 软件公司的 MOVEit Transfer 文件传输工具中的一个严重漏洞,开始了大规模的勒索软件攻击活动。与传统的勒索软件攻击不同,本次的攻击行动并没有采用任何加密机制,而是以非法泄露数据作为勒索条件。根据新西兰网络安全公司 Emsisoft 的报告,针对 MOVEit 攻击波及了约 2620 家企业用户和 7720 万人。受害者包括 IBM,美国能源部,壳牌石油,BBC,英国航空,安永,以及杀毒软件巨头、诺顿和 Avast 的母公司 Gen Digital。网络安全2024-守初心 创新质绿盟版3-13排版.indd 75网络安全2024-守初心 创新质绿盟版3-13排版.indd 752024/5/8 17:43:072024/5/8 17:43:07076网络安全 2024:守初心 创新质图 3.12 MOVEit 网络攻击受影响的组织 7 月,Google 旗下的在线安全服务提供商 VirusTotal 承认,有 5600 名使用其威胁分析服务的客户信息被泄露,美国 FBI、NSA、司法部、网络司令部等情报机构雇员亦在其列。VirusTotal 澄清数据泄露是一名员工误操作导致的,而非网络攻击或漏洞缺陷导致的,且这些数据仅能被 VirusTotal 的合作伙伴与企业客户访问。9 月,英国供应链安全厂商 DarkBeam 被发现有超过 38 亿条数据泄露,这些数据是DarkBeam 从客户侧收集的已发生泄露的数据,用于在泄露事件发生时向用户告警。造成泄露的原因是一个未受保护的 elastic kibana 数据可视化分析服务,黑客通过它获取了其中存放的秘密信息。11 月,身份安全厂商 okta 报告他们的客服系统在 9 月底遭受的攻击远比之前预计的更糟糕。攻击者生成并下载了一份报告,包含 okta 所有客户的姓名、邮箱地址以及部分员工的信息,而此前 10 月份时 okta 的初步评估认为只有不到 1%的客户信息可能遭到泄露。3.4.2 政策和市场 国内政策网络安全2024-守初心 创新质绿盟版3-13排版.indd 76网络安全2024-守初心 创新质绿盟版3-13排版.indd 762024/5/8 17:43:072024/5/8 17:43:07077新技术发展篇2023 年数据安全领域政策密集推出,重点关注以下两个方面:a)跨境数据传输自 2021 年个人信息保护法生效以来,网信办于 2022 年先后公布了数据出境安全评估办法以及个人信息出境标准合同办法,至 2023 年 3 月 1 日评估办法规定的整改期届满。据公开资料的不完全统计,截止 2023 年底已公布通过评估的企业有 29 家,与国家网信办和各地省级网信办已受理的千余件申报相比,数据出境申报通过率或仅为百分之一。多数已存在数据出境业务、按规定需进行评估的企业仍然在评估流程中,而评估办法规定评估结果有效期仅为两年,企业面临反复而冗长的评估,可能对跨境业务造成不利影响。而 2023 年 9 月 28 号网信办公布的规范和促进数据跨境流动的规定(征求意见稿),在上述规定的基础上进一步细化规范,适当优化了审批程序和适用范围,一定程度地明确和放松了监管要求。此外,在 2023 年下半年,粤港澳大湾区范围内出台了一系列数据跨境相关的地方法规和标准指南,提供了规范数据跨境活动的多种机制,走在了数据跨境规范管理落地实践的前列。b)数据互联互通与数据交易继中共中央国务院于 2022 年年底发布关于构建数据基础制度更好发挥数据要素作用的意见、2023 年 2 月发布数字中国建设整体布局规划之后,国家数据局于 2023 年 10月 25 日的正式成立,标志着国家数字化发展迈出关键一步。该机构的宗旨是整合数据要素资源,推动数字创新引领的技术进步和市场发展。而在 2023 年的最后一天,国家数据局与网信办、工信部、科技部等部门联合印发“数据要素”三年行动计划(20242026 年),这是该机构自成立以来的首次重磅发声。可以看到,2023 年数据互联互通与数据交易领域的政策密集推出,其中包括:财政部公布对企业会计处理规定的修改,旨在将数据资源识别为无形资产,并按照相关准则处理;地方相关部门推动了数据互联互通与数据交易的新范式,旨在以更为动态的模式架构提升效率和合规性;地方监管部门在数据领域的立法和执法方面取得了新进展,正在推动以数据“三法”为指导的数据交易司法实践的落地。国内监管网络安全2024-守初心 创新质绿盟版3-13排版.indd 77网络安全2024-守初心 创新质绿盟版3-13排版.indd 772024/5/8 17:43:082024/5/8 17:43:08078网络安全 2024:守初心 创新质2023 年,数据安全领域国内最为重大的监管事件,当属中央网信办查处知网。2023 年 9 月 1 日网信办公布,根据调查,知网(CNKI)运营的 14 款 App 存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。依据网络安全法个人信息保护法行政处罚法等法律法规,综合考虑知网(CNKI)违法处理个人信息行为的性质、后果、持续时间,特别是网络安全审查情况等因素,对知网(CNKI)依法作出网络安全审查相关行政处罚的决定,责令停止违法处理个人信息行为,并处人民币5000万元罚款。根据个人信息保护法第六十六条:“有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿”,可以看到从罚款金额来说,网信办对知网作出的是“顶格处罚”,是自 2021 年个人信息保护法生效以来最高的。这强有力的反映了国家对于个人信息的保护力度,与整治破坏个人隐私保护不法行为的决心。国内市场a)数据要素市场随着数字技术和数字经济的迅猛发展,数据总量不断增长、数据要素交易市场化建设不断完善,推动数据要素价值和乘数效应不断放大。据工信数通统计分析:市场规模:2022 年,中国要素市场规模超 1000 亿元、同比增速 27%,2017-2022年年均复合增长率超 25%,预计 2025 年中国数据要素市场规模将突破 2000 亿元。同时,数据要素的应用在各行各业中渗透迅速。2022年,我国数据要素在商业、民生、工业、政务等领域中市场规模占比分别为 9%、25%、24%和 10%。网络安全2024-守初心 创新质绿盟版3-13排版.indd 78网络安全2024-守初心 创新质绿盟版3-13排版.indd 782024/5/8 17:43:082024/5/8 17:43:08079新技术发展篇图 3.13 数据要素市场规模 主体规模:一方面,场内交易平台数量持续增加。截至 2023 年 12 月,场内数据交易所(中心)超 50 家,涵盖数据登记、确权发证(持有权、使用权、经营权)、价值评估、数据安全体系建设等方面在内的数据交易制度、规则持续完善,有效支撑数据合规高效流通使用。数据供应者、数据需求方、数据交易所(中心)、数据交易技术支撑方、第三方专业服务机构、监管方等数据要素多元市场主体涌现。另一方面,以场外交易为主的数据要素市场交易规模持续扩大,场外数据交易占到了整个数据交易规模的 95%左右。截止 2023 年 12 月,中国数商企业数量超 200 万家,近十年年均复合增长率超 30%,中小企业(注册资本 110 万-100 万)增速近 45%,成为推动数商企业规模加速壮大的主力军。数据产品供应商超150万家、占比超七成,数据安全、数据合规评估等类数商企业增速较快。b)数据安全市场据赛迪顾问统计分析,2022 年,中国数据安全防护与治理市场规模达 118.4 亿元,增长率达 20.6%。预计到 2025 年,中国数据安全防护与治理市场将达到 228.7 亿元。网络安全2024-守初心 创新质绿盟版3-13排版.indd 79网络安全2024-守初心 创新质绿盟版3-13排版.indd 792024/5/8 17:43:082024/5/8 17:43:08080网络安全 2024:守初心 创新质图 3.14 2019-2021 年中国数据安全产品及服务市场规模及增长1c)安全硬件信创市场2023 年,财政部发布政府采购需求标准征求意见稿中强调,应当将 CPU、操作系统符合安全可靠测评要求纳入采购需求。对应地,基于2023年中发布的 安全可靠测评工作指南(试行),中国信息安全测评中心在年底发布了安全可靠测评结果公告(2023 年第 1 号),包含 CPU、数据库、操作系统三方面的安全可靠测评结果。另一方面,信创产品需求旺盛,出货量持续攀升,平安证券预计 2023 年至 2028 年,我国信创 PC 和服务器合计出货量将超过 3000 万台,合计市场规模将超过 4000 亿元。在政策与市场的双轮驱动下,2024 年我国信创工程将迎来新一轮的快速发展周期。3.4.3 热点技术分析a)机密计算对于数据安全保护可以根据数据所处状态分为三种情况:传输时的数据、存储时的数据与使用中的数据。机密计算是一种基于硬件保护的可信执行环境(TEE)对内存、处理器中处于使用中的数据提供机密性与完整性保护的技术。其使用软硬件结合的方式,让程序与数据在安全可信环境中进行计算,可以防止攻击者从所处设备的操作系统层面或 Hypervisor 层1数据来源:赛迪顾问 2023.04网络安全2024-守初心 创新质绿盟版3-13排版.indd 80网络安全2024-守初心 创新质绿盟版3-13排版.indd 802024/5/8 17:43:082024/5/8 17:43:08081新技术发展篇面对 TEE 内数据的访问与窃取,做到数据“可用不可见”。机密计算信任链与传统信任链差异如图所示:图 3.15 传统信任链与机密计算信任链对比与全同态加密、安全多方计算、联邦学习、可信计算等其他能对使用中的数据进行保护的技术相比,机密计算在性能开销、安全性、可移植性、可扩展性等方面更具优势。机密计算除了能对数据提供保护,同时也可对计算程序提供机密性与完整性保护,并且具备可验证的能力,可以较易证明程序与数据处于安全环境中。机密计算的核心技术为可信执行环境技术,即 TEE 技术,其机密性主要是通过对 CPU寻址的隔离与内存隔离实现。目前主流的 TEE 技术包括 x86 架构下的 Intel SGX 技术、Intel TDX 技术、AMD SEV-SNP 技术以及 ARM 架构下的 TrustZone 技术与基于 TrustZone 技术的机密计算架构 CCA。其中,Intel SGX 技术的基本原理是在 Intel 原有架构上增加了一组新的指令集和内存访问机制,使得应用程序可以在其地址空间为需要保护的代码和数据设置一个私有的、被保护的区域,一般称这个区域为“enclave”。CPU 可以为这个区域的代码和数据提供机密性和完整性保护,故一般称其提供进程级别的安全隔离;而 AMD SEV 技术与 Intel TDX 技术则是能为虚拟机提供内存与 cpu 的机密性与完整性保护,一般称这类技术提供虚拟机级别的安全隔离。而 ARM TrustZone 技术则是将处理器资源分割为两个独立的世界:安全世界与非安全世界以实现整个系统级别的安全隔离。各类技术可信基对比如图所示。网络安全2024-守初心 创新质绿盟版3-13排版.indd 81网络安全2024-守初心 创新质绿盟版3-13排版.indd 812024/5/8 17:43:082024/5/8 17:43:08082网络安全 2024:守初心 创新质图 3.16 不同 TEE 技术的可信基对比机密计算的应用场景可以主要有三大场景:零信任云计算、多方协同计算以及数据安全共享。在传统的云计算环境中,用户需要将其业务与数据托管在云平台上,而云服务提供商有能力窃取用户数据与程序,因此存在数据泄露风险,需要用户信任云服务商。若能在云环境中使用机密计算技术,则能有效提高应对上述问题。由于机密计算可以防护宿主机层面的攻击,用户将自身业务与数据运行在云平台的 TEE 环境中,可以防止云服务商对其数据的窥探与窃取,提高数据隐私和安全性,进而移除用户对云厂商的信任,实现云上业务的零信任场景。而对于协同计算场景来说,当多个组织或个体需要合作进行数据分析或计算时,机密计算允许各方在不共享原始数据的情况下合作完成任务,如在医疗领域中多个医疗研究机构可以共同分析大规模的医疗数据,如基因组数据、病例记录等,以研究疾病治疗和预防。使用机密计算,这些机构可以在不泄露患者身份和敏感信息的情况下分享数据和分析结果。此外,机密计算也可用于数据共享,利用其数据“可用不可见”特性,数据提供方将数据置于机密计算应用中,安全地共享给数据使用方,数据使用方通过机密计算程序完成计算,仅可获取计算结果而无法窥探或窃取原始数据,实现了数据安全共享。除了上述场景之外,机密计算也可以与 FPGA、GPU 等加速卡结合,提高算力,为人工智能、物联网等领域提供安全计算环境,保护计算数据安全。然而,目前市场上各厂家推出的机密计算方案百花齐放,从底层 TEE 技术选型、到上层应用能力等均存在较大差异,导致机密计算技术架构兼容性差、生态隔离,互联互通有障碍,用户应用跨平台迁移困难、开发和维护成本大。因此,推进机密计算应用框架的标准化将成为机密计算下一步的发展趋势,其有助于打通不同厂商与平台间的生态隔离,通过制定统一接口标准与协议,做到不同机密计算应用间的互联互通,并通过制定安全标准可以约束不同技术架构下的机密计算应用满足安全性与合规性要求。最终降低用户应用迁移与开发成本,保障数据安全流转与使用,最终赋能数据要素安全流转,激活数据要素价值,为更广泛的领网络安全2024-守初心 创新质绿盟版3-13排版.indd 82网络安全2024-守初心 创新质绿盟版3-13排版.indd 822024/5/8 17:43:082024/5/8 17:43:08083新技术发展篇域提供数据使用安全保障。b)多方安全计算多方安全计算(MPC),最早由姚期智院士在上世纪 80 年代提出。该技术源于对“百万富翁问题”的研究,如今因数据安全与数据要素的重要性日益凸显而受到广泛关注。作为密码学领域中极具实用价值的前沿理论,多方安全计算在保护数据隐私和安全流转方面显示出独特优势。其主体的技术路线与应用如图所示。图 3.17 安全多方计算架构多方安全计算的核心是通过严谨精妙的密码学理论,使多个参与方能够共同计算数据而不泄露各自的私有信息。其以不经意传输(OT)为基础,又进一步扩展出混淆电路(GC)与秘密共享(SS)两条更富有表现力的技术路线,三类技术的简述如下:不经意传输假设发送方有两条带有标号(0/1)的信息,接收方能获得某指定标号的信息,而发送方并不知道接收方获得哪条信息,也容易将将 2 选 1 扩展成一般性的 n 选 m 的协议。混淆电路基于如下前提:所有的计算程序可由基础电路(与门&或门)构成。在这种范式下,计算过程分为两个关键角色:电路生成方和电路执行者。电路生成方负责构建和混淆电路,确保其功能性同时隐藏其内部逻辑。电路执行者则在这个被混淆的电路上运用自己的数据进网络安全2024-守初心 创新质绿盟版3-13排版.indd 83网络安全2024-守初心 创新质绿盟版3-13排版.indd 832024/5/8 17:43:092024/5/8 17:43:09084网络安全 2024:守初心 创新质行计算。秘密共享基于如下前提:所有运算都可由基础运算(如加法、乘法)组成。该方案下,由多方掌握一个真实数据的多份分享,并在分享之上构建密文加法/乘法(通常还会定义出更一般的初等函数运算),最终通过保障每一个步骤中所产生的中间交互值与结果值都为无意义的分享值,来确保整个计算链路的安全性。在实际应用中,多方安全计算通常结合使用同态加密、零知识证明等经典密码学技术,以提高恶意参与者的安全性和整体效率。为了提高实用性,多方安全计算的实践者们基于底层密码原语进一步定义了一系列安全算子。其中部分重要算子的总体能力与典型应用如表所示:表 3.1 部分安全多方计算能力与应用算子名称简要功能常见应用隐私集合求交两个或多个集合计算交集,除交集内容以外,各集合内容不被其它参与者所知查询黑白名单、二三四要素核验隐私信息检索根据某个 key 查询某库中对应的 value,key 的值不被库拥有方知晓 隐私保护的报告查询SCQL在多个数据库中进行 SQL 分析,而各方数据库原始数据不出域多方数据库合作GMPC提供可编程的基础算子,如 if,while, ,-等,用于构建多方密文计算程序构建安全计算平台多方安全计算有别于机密计算等以可信硬件为主的可控类流通方案,其更依赖于可公开验证的密码学理论,因而在部分场景中具有不可替代性。然而,在当下阶段,此类方案仍存在如下等不可忽视的问题:计算成本高耗时长:在多方安全计算任务中,由于其底层依赖于复杂的加密算法和协议,计算过程往往非常耗时和资源密集。虽然 40 年来的研究,尤其是近几年的持续突破已经带来了多个数量级的性能飞跃,但相比于同问题的明文计算,典型 MPC 任务所需的时间消耗仍会膨胀数百倍至数十万倍,这显著限制了以实用为导向的场景。安全性未得到普遍认可:多方安全计算的理论前沿强依赖于密码学顶会论文,然而由于其理论的复杂度,难以被大众简单的理解。同时,即使是最优秀的密码学研究者,也无法保证其理论完全无漏洞。此外,实际实现密码学方案的科研人员也难以避免在实现时带来额外的漏洞。扩展到多方困难:由于密码学理论本身的限制,除非经过特意的设计,常规的密码原语很难面对三方以上的参与者。而真实世界的任务往往需要由多个对等的参与方进行合作,或者需要为将来更多的参与方预留加入能力。网络安全2024-守初心 创新质绿盟版3-13排版.indd 84网络安全2024-守初心 创新质绿盟版3-13排版.indd 842024/5/8 17:43:092024/5/8 17:43:09085新技术发展篇 二次开发难度大:由于多方安全计算仍处于底层能力范畴,与真实用户日常所使用的软件之间仍有很大距离,目前往往需要软件开发商理解多方安全计算的能力,并基于此能力进行二次开发;如何提供一个简洁易懂乃至得到各方公认的安全平面供非密码学软件开发人员理解使用仍是一个探索中的问题。3.5 供应链安全3.5.1 国内外发展现状软件供应链这一概念源于美国军方军用需求主导的编程服务供给模式。1942-1962 的防空大型计算机项目(SAGE)率先对软件供应链体系进行实践,距今已有将近 80 年。信息化时代开始至互联网时代早期,安全威胁主要以“木马蠕虫”形式通过储存介质进行传播,其更多的是针对个人终端及破坏性指令对操作系统及系统软硬件实施攻击。其传播范围及影响也相对较小,安全视角也未提升至整个供应链安全范畴。随着产业链逐渐发展,大量新技术的引入令软件风险防护范围从个体层面提升至供应链层面,安全视角发生了重大变化。2021 年 5 月,美国发布改善国家网络安全行政命令(Improving the Nations Cybersecurity),其中一项重点任务就是加强软件供应链安全,并提出了较为系统的指导建议。其中包括:建立专项工作组,确定“关键软件”定义及范围,建立关键软件清单,对清单涉及产品进行审查,完善对标达标产品清单的采购制度,发布相应指南及基本测试工具,要求相关机构针对软件供应链安全建立安全评级体系。近年来,我国高度重视关键信息基础设施保护和数据安全工作,相关主管部门也已关注软件供应链安全问题并提出指导意见与要求,如针对关键设备软件采购建立准入机制与供应商审查机制;针对开源场景开展安全状况摸底;针对软件供应链安全管理规范和技术标准组织标准规范研究起草工作。监管单位从软件采购、开源技术引入、供应链整体安全等角度分别切入,不同程度地开展了对行业及产业的指导工作。但从整体来看,我国对软件供应链安全管理尚未形成完整链条的无缝连接,体系化的部署和指导还处在初期阶段。软件供应链安全定义范围:从安全威胁角度无论使用故意、非故意、意外、偶然、误用、滥用、错误、弱点、缺陷、过失或故障等何种术语描述的对软件需求方资产造成损失或产生不良影响的事件及相关条件,都应称为软件供应链威胁。因此,软件供应链安全管理是通过一定方法,识别、评估和缓解与产品和服务的分布式或网络化的必要供应链风险的过程。网络安全2024-守初心 创新质绿盟版3-13排版.indd 85网络安全2024-守初心 创新质绿盟版3-13排版.indd 852024/5/8 17:43:092024/5/8 17:43:09086网络安全 2024:守初心 创新质软件供应链安全管理涉及三个身份:供方(引入),用方(使用),需方(交付)。与之对应涉及到的管理重点各有侧重。引入:涉及软件采购、服务采购、开源组件引用。供方的安全合规、能力资质、服务支持等技术指标进行限制,通过要求需方设立安全要求引导供方完成安全能力与安全体系的建设,并符合基本要求。使用:使用方在利用组件进行二次开发时应满足软件开发生命周期要求,对内需要有明确的安全开发、安全运维的管控流程,明确管理岗位与管理职责,并可以通过管理工具留痕加以验证落实。交付:对需方应提供可信的组件信息,保证软件产品开发流程的安全合规,保证服务支持、并对自身信息化环境有明确的应急甘泉响应机制,保证能够将安全风险控制在萌芽状态。综上所述,软件供应链安全监管边界在于对现有的安全生产与安全建设体系进行审查(主管机构对各行业安全体系的建设要求),对安全管理资质进行验证(国标、行标),对软件供应链基础安全工具进行审查(SAST、IAST、SCA、RASP 等)。从安全管理制度、安全运营资质、安全管理工具这三个层面进行审查。3.5.2 软件供应链安全风险目前,我国软件产业的自主生态根基还相对薄弱,在基础软件和应用软件企业中,除了极个别走完全自主研发道路的企业,大部分企业对开源软件的依赖度依然很大。操作系统、数据库、中间件软件、应用软件、设备固件等的开发、编译、测试都越来越多的采用开源代码,软件供应链的开源化趋势越来越明显,大多数企业软件产品的供应链中,开源软件扮演者至关重要的角色。当前的开源世界仍由美国主导,不光绝大多数开源基金会和开源项目都位于美国,几乎所有开源许可证和代码托管平台也都由美国的学术界和工业界主导(数据来源:中国开放指令生态联盟开源项目风险分析与对策建议)。在我国未形成成熟的开源生态体系之前,我国的软件产品依然面临着漏洞后门(技术)、开源协议(商务)、出口管制(政策断供)等供应链攻击风险。技术风险:调查发现有 85%的代码库含有至少四年未曾更新的开源依赖项。2020 年,包含存在漏洞的开源组件的代码库百分比为 84%,较 2019 年上涨了 9%。包含高风险漏洞的代码库的百分比从 49%上升至 60%。2020 年的审计中再次发现了 2019 年在代码库中发现网络安全2024-守初心 创新质绿盟版3-13排版.indd 86网络安全2024-守初心 创新质绿盟版3-13排版.indd 862024/5/8 17:43:092024/5/8 17:43:09087新技术发展篇的几个十大开源漏洞(CVE-2019-11358、CVE-2015-9251、CVE-2019-10744),并且所有这些漏洞的百分比均有显著增加。美国新思科技公司在2021 年开源安全和风险分析报告中指出,2020 年审计的代码库中,65%包含存在许可证冲突的开源组件,通常涉及“GNU通用公共许可证”,26%的代码库采用没有许可证或定制许可证的开源代码。商务风险:极端情况下,如果美国NSF、NASA以国防安全为由,制定一个新的开源许可证,限制其资助的所有开源项目只能在美国使用和发布,则美国以外的其他国家将失去这部分开源项目的使用权。我国公司一旦使用,就会侵犯知识产权,这一潜在风险不容忽视。政策风险:开源相关的法律约束除开源许可证外,还包括出口管制和司法管辖权。这就意味着,如果一个开源项目或开源组织声明遵从美国的出口管制条例,此时一旦美国修改条例,将一些核心基础软件加入到管制中,那么大量核心开源项目将受到出口管制。一旦美国针对中国公司的贸易管制政策蔓延到开源项目,中国公司托管在海外的开源代码资产将面临冻结风险一旦我国受到上述基于开源生态的供应链攻击,轻则造成国家财产损失,重则导致国家生产、生活秩序的混乱,因此对于软件供应链的管理体系建已是刻不容缓的工作。软件供应链管理体系建设既是自主生态根基建设的必要需求,又是自主生态根基建设的催化剂,只有通过打造健全、安全的软件供应链管理体系,才能实现软件产品开发使用的透明化,最终逐步实现核心产品、核心模块的自主可控,从根本上解决供应链连续性和安全性问题。数字技术由ICT/OT产品组成,并通过服务交付和支持,这些要素构成了数字技术产品(以下统称为“软件”)的供应链生态。针对软件供应链的攻击,具有难发现、难溯源、难清除、低成本、高效率等特点,结合软件产品的生命周期,软件供应链攻击通常可以划分为如下几类,如图所示:网络安全2024-守初心 创新质绿盟版3-13排版.indd 87网络安全2024-守初心 创新质绿盟版3-13排版.indd 872024/5/8 17:43:092024/5/8 17:43:09088网络安全 2024:守初心 创新质图 3.18 软件供应链攻击表 3.2 供应链攻击的类型对应字母威胁类型供应链攻击案例A将恶意代码提交到源存储库Linux 恶意上传带有漏洞的 patch:研究人员试图通过邮件列表上的补丁程序故意将漏洞引入 Linux 内核。B恶意托管源代码管理平台PHP 官方 git 被攻陷:攻击者破坏了 PHP 的自托管 git 服务器,并注入了两个恶意提交。C使用正式流程构建,但源代码与源代码管理不匹配Webmin:攻击者修改了生成基础结构以使用与源代码管理不匹配的源文件。D被攻陷的构建平台SolarWinds:攻击者破坏了构建平台,并安装了一个在每次构建过程中注入恶意行为的植入程序。E使用错误的依赖关系(即 A-H,递归)事件流攻击:攻击者添加了一个无害的依赖项,然后更新该依赖项以添加恶意行为。更新与提交给 GitHub 的代码不匹配(即攻击 F)F上传不是由 CI/CD 系统生成的中间件CodeCov:攻击者使用泄露的凭据将恶意中间件上传到GCS存储桶,用户可以从中直接下载。G把恶意包托管到仓库攻击包镜像:研究人员为几个流行的包存储库运行镜像,这些库可能被用来服务恶意包。H欺骗开发者使用恶意包Browserify TypoShucking:攻击者上传了一个与原始文件同名的恶意软件包。当前,我国软件产品的供应链存在着透明度不足、各个组织对供应链的管理水品参差不齐、缺乏统一的软件供应链管理标准及机制等特征。从软件开发者、使用者以及管理机构的角度来看,软件供应链的各个环节均存在着巨大的安全隐患。3.5.3 当前国内外软件供应链安全管理制度落地情况美国最早提出宏观的供应链安全管理(SCRM),后细化到信息通信技术供应链安全管理(ICT-SCRM),又进一步提出软件供应链安全管理。网络安全2024-守初心 创新质绿盟版3-13排版.indd 88网络安全2024-守初心 创新质绿盟版3-13排版.indd 882024/5/8 17:43:092024/5/8 17:43:09089新技术发展篇美国政府要求美国国家标准与技术研究院(NIST)牵头开展软件供应链相关标准的研究。要求标准应能够反映评估对象的基本安全水平,标准设计也应该对目标产品已通过的测试和评估进行统计与考量。指南建议供应商测试其软件源代码的最低标准。NIST 应检查所有相关信息、标签和激励计划,采用最佳实践,并确定、修改或开发推荐的标签或分层软件安全评级系统。建立试点项目,并审查方案侧重于消费者的易用性和安全性。我国软件供应链安全针对平台建设、制度保障、配套工具、政策引导等方面开展了相关工作。软件供应链安全制度建设逐步加强,有关行业管理部门依据国家网络安全法规针对性地制定和发布了一系列政策指导文件。在各方努力下涌现出一批国产开源社区,如木兰开源社区、Openl 启智社区、华为 openGauss 等开源社区。通过对开源技术进行孵化,将技术领先国家优秀的开源理念及管理模式经验加以延续,并辅以符合我国自身发展特性的管理工具和方法,保证开源软件的自主可控。各大安全厂商也在加强配套工具建设,竞相推出各自的软件供应链安全保障方案,研发专用的代码扫描,组件成分分析工具,帮助用户对自身了解自身软件资产情况,提升软件资产透明度。在供应链安全管理方面,美欧等发达国家由于具备技术先发优势,已经建立起了比较全面的软件供应链安全管控机制。但在实际推广过程中并不顺利,也经历了几轮大的调整。2021 年,美国政府相关部门发布指南,建议供应商测试其软件源代码的最低标准,包括确定推荐的手动或自动测试类型(如代码审查工具、静态和动态分析、软件组成成分分析和渗透测试)。建立试点项目,启动由现有消费品标签计划通知的试点计划,并要求政策设计中需要考虑激励制造商和开发人员参与的方法。美国政府已要求美国国家标准与技术研究院(NIST)牵头开展软件供应链相关标准的研究,确定消费者软件标签计划的安全软件开发实践或标准,并考虑消费者软件标签程序是否可以与任何类似的现行政府计划相结合或仿效,研究其符合适用的法律。要求标准应能够反映评估对象的基本安全水平,标准设计也应该对目标产品已通过的测试和评估进行统计与考量。NIST 应检查所有相关信息、标签和激励计划,采用最佳实践,并确定、修改或开发推荐的标签或分层软件安全评级系统。审查方案侧重于消费者的易用性和安全性。我国在软件供应链领域也分别针对平台建设、制度保障、配套工具、政策引导这几个层面开展了具体工作。在各方努力下涌现出了一批国产开源社区,如木兰开源社区、Openl 启智社区、华为 openGauss 等开源社区。通过对开源技术进行孵化,将技术领先国家优秀的开源理念及管理模式经验加以延续,并辅以符合我国自身发展特性的管理工具和方法,保证开网络安全2024-守初心 创新质绿盟版3-13排版.indd 89网络安全2024-守初心 创新质绿盟版3-13排版.indd 892024/5/8 17:43:102024/5/8 17:43:10090网络安全 2024:守初心 创新质源软件的自主可控。用于保障软件供应链安全的制度建设也在稳步推进。信息技术 软件安全保障规范(GB/T 309982014)对软件安全保障建设做出了规范要求,定义了关键软件,对软件的开发、使用、管理等安全场景做出了建设指导。网络安全审查办法中提到了保障确保关键信息基础设施供应链安全,并以此为出发点提出软件安全审查的具体办法。软件组成成分表(SBOM)制度的推广也在稳步推进,通过在开发过程中建立 SBOM 来提升软件透明度,减少企业审计难度,降低监管机构的审查难度。各大安全厂商也在加强配套工具建设,竞相推出各自的软件供应链安全保障方案,研发专用的代码扫描,组件成分分析工具,帮助用户对自身了解自身软件资产情况,提升软件资产透明度。信息安全技术 ICT 供应链安全风险管理指南(GB/T 36637-2018)对 ICT 供方的供应链安全风险管理进行规范,关键信息基础设施的运营者也可以依据“指南”优化自身安全防护策略。金融领域也发布关于供应链安全风险提示的函要求加强供应链安全风险管控,配套开源软件与开源软件服务商评测规范,对软件供应链安全建设做出指导。未来,随着国产软件组件清单标准、开源软件审查制度、信创开源建设、国产开源软件许可证机制等相关领域的各项标准逐步推出,将会进一步明晰软件供应链安全发展方向,将软件供应链安全理念落实到实际操作中。3.5.4 软件供应链安全管理抓手 开展软件物料成分清单摸底,通过对关基领域进行摸底摸清重点领域的软件组成成分现状,对国产化率及自主可控的发展理清脉络,对卡脖子的关键组件进行重点攻关,解决其有无问题,保证国家信息产业的安全。争取一切可以争取的力量,如国内企业的核心依赖组件进行国产化平台牵引。海外,如欧洲企业可能也会大量使用开源软件作为自身专业软件的研发基础,可以通过在我国自身开源组件平台实施迁移,在保证开发者知识产权的情况下实现版权风险规避,将部分核心技术在保留其自主知识产权与版权的基础上进行国产化平台迁移认证,保证其规避美方的知识产权封锁。保证业务的可用性,同时加强国产开源平台的建设。针对党政领域出台供应链安全建设指南组合,如采购规范,组件准入规范、供应链体系建设规范、人员及制度管理规法等,提出类似美国提出国防采购指南的官方指导文网络安全2024-守初心 创新质绿盟版3-13排版.indd 90网络安全2024-守初心 创新质绿盟版3-13排版.indd 902024/5/8 17:43:102024/5/8 17:43:10091新技术发展篇件,为后续社会层面的供应链安全体系建设打下基础。建立党政系统供应链安全管理标准族,后经改良下放至国有企业,作为市场标杆供其他组织机构加以学习借鉴。3.6 工业互联网安全在世界经济增长乏力的背景下,我国 5G 发展进程推动了“5G 工业互联网”的融合,为工业互联网数字经济注入新的动力。5G 与工业的融合发展正逐步深入工业生产核心环节,这打破了传统工业网络封闭的生产环境。正在进行的俄乌、巴以战争让工业互联网安全形势更加复杂,使得暴露在互联网之下的工业网络不可避免的成为现代战争打击的首要目标,这带来了更加严峻的安全挑战。3.6.1 热点安全事件工业互联网应用加速向各行业渗透应用,全球更多的工业企业与工业互联网连接,打通了 MES、ERP 等系统的连接,联网的工控设备持续增加,形态及复杂度上呈指数增长。网络攻击、远程控制、控制设备漏洞等问题加剧了系统面临的安全威胁。近年来工业互联网重要行业领域的安全事件频频发生,现有的防护手段和安全管理措施不足以支撑与日俱增的攻击。纵观 2023 年,互联网共收集的 98 起工业网络相关的安全事件,涉及能源、制造业、航空、交通运输、市政、国防、医疗等多个行业,工业设备和数据的安全可靠面临着严峻的考验。攻击类型主要以勒索攻击为主,相较 2022 年相比仍呈上升趋势,LockBit、Black Basta、BlackCat/ALPHV、CL0P、美杜莎等知名勒索软件组织活跃,给受害者带来了巨大的经济损失。其中,制造业和能源是工业互联网主要的组成,受网络安全影响最严重,共占比为 63.27%。在供应链攻击方面,值得关注的是工控安全独角兽 Dragos 遭到勒索软件攻击,Dragos 安全服务覆盖了美国 70%的电网,是非常重要的一个环节,如果攻击者能够窃取或破坏其关键数据和系统,可能会对美国的电力供应造成灾难性的影响。好在 Dragos 有效地抵御和减轻攻击影响,攻击者只成功下载了一些“一般用途数据”和 25 份情报报告,没有造成严重的信息泄露。此外,世界地缘政治的紧张局势也影响到了网络空间,参与政治性事件并发起网络攻击的黑客组织威胁持续上升。2023 年 10 月,巴以冲突再次升级,双方不仅在实体领域展开了激烈的军事对抗,也在网络领域展开了激烈的网络战,各种黑客组织也加入了这场网络战,以支持或反对巴勒斯坦或以色列的立场。其中,伊朗黑客组织CyberAv3ngers对以色列加油站、电力基础设施等进行攻击,造成了一系列的电力故障和数据泄露。伊朗同样受到亲以黑客组网络安全2024-守初心 创新质绿盟版3-13排版.indd 91网络安全2024-守初心 创新质绿盟版3-13排版.indd 912024/5/8 17:43:102024/5/8 17:43:10092网络安全 2024:守初心 创新质织 Predatory Sparrow 等对其工业网络的攻击,反对伊朗的威胁和挑衅。表 3.3 2023 年工业网络安全事件月份事件国家/区域行业/系统攻击类型后果1加拿大铜矿场遭到勒索软件攻击被迫关闭加拿大矿业勒索攻击被迫以手动作业,关闭采矿设备1美 国 铁 路 和 机 车 公 司 Wabtec Corporation 遭到 LockBit 勒索攻击美国交通运输LockBit 勒索攻击数据泄露1尼日利亚石油和天然气行业遭严重网络攻击尼日利亚能源网络攻击系统的门户网站无法访问,部分数据作为盗窃凭证被公开1历史上第一个 RTU 被勒索攻击白俄罗斯未知GhostSec 勒索攻击未知1德国塑料组件、金属加工和环境技术制造商 Fritzmeier 集团遭受网络攻击德国制造业网络攻击业务受到影响1全球最大海事组织 DNV 遭勒索攻击美国交通运输勒索攻击数千艘船舶运营受影响1SOLAR INDUSTRIES INDIA 遭BLACKCAT 勒索攻击印度制造业BLACKCAT 勒索攻击 攻破公司的基础设施,窃取了 2TB 的数据,包括与武器生产有关的秘密军事数据。2半 导 体 设 备 制 造 商 MKS Instruments 成为勒索软件攻击的受害者美国制造业勒索攻击公司网站离线,部分设施停止运行,生产相关系统停止使用2邮票和激光技术制造商 Trodat 遭勒索攻击奥地利制造业勒索攻击数据加密、全球大部分中央IT 服务拒绝服务2为法国铁路提供服务的照明制造商 Lumila 遭勒索攻击法国制造业勒索攻击未知2流体动力和动力传输技术制造商Gates Industrial Corporation plc遭恶意软件攻击美国制造业恶意软件攻击业务受到影响、暂停生产和运输、数据泄露2滑雪板制造商Burton Snowboards发生网络事件美国制造业未知取消了所有在线订单2伊朗 37 个工业通信系统被黑客攻击导致下线伊朗未知网络攻击37 个支持工业通信标准协议Modbus 的系统被攻陷并下线,攻陷系统 IP 地址以及部分截图被公开2几十个美国电力和液化天然气场所被恶意攻击美国能源Chernovite 组织PIPEDREAM 恶意软件业务受影响2德国多家机场遭 DDoS 攻击德国交通运输DDOS 攻击多个机场网站无法访问2政供水公司 Aguas do Porto 遭到勒索攻击葡萄牙市政LockBit 勒索攻击未知2工业设备供应商 Stiles Machinery Inc 遭受网络攻击美国制造业未知关闭系统以进行保护3节能绝缘材料制造商 STEICO 集团成为披露的网络攻击目标德国制造业未知影响了生产运营和管理3印度尼西亚国家核能机构(Batan)数据遭遇泄露印度尼西亚能源黑客入侵泄露1.4GB数据在暗网泄露。3南非一个电力公司遭恶意软件攻击南非能源恶意软件攻击未知3巴塞罗那医院遭 Ransom House勒索软件攻击巴塞罗那医疗勒索软件攻击计算机系统瘫痪,手术和检查等业务受影响3物流供应商疑因勒索软件攻击导致 IT 系统中断,空客德国工厂至少部分停止生产德国制造业勒索攻击/供应链攻击IT 系统中断,影响工厂生产。网络安全2024-守初心 创新质绿盟版3-13排版.indd 92网络安全2024-守初心 创新质绿盟版3-13排版.indd 922024/5/8 17:43:102024/5/8 17:43:10093新技术发展篇月份事件国家/区域行业/系统攻击类型后果3家用电器制造商 Groupe SEB 的 IT团队检测到利用漏洞的尝试法国制造业网络攻击未知3工业自动化和机器人公司 HAHN Group 遭网络攻击德国制造业网络攻击所有系统被迫关闭3包装制造商 Storopack 遭勒索攻击德国制造业勒索攻击应用程序服务器和域控制器被加密3知名意大利汽车品牌法拉利遭勒索攻击意大利制造业RansomEXX 勒索攻击业务中断、数据泄露3存储巨头西部数据遭入侵美国制造业数据泄露严重影响公司业务运营。3医疗保健设施提供商遭受网络攻击美国医疗网络攻击数据泄露4缝纫机制造商 BERNINA 遭受勒索攻击瑞士制造业ALPHV 勒索攻击数据泄露、业务受到影响4中国台湾电脑零部件制造商微星遭勒索攻击中国台湾制造业Money Message 勒索攻击源代码和数据库在内 1.5TB数据,被要求支付 400 万美元赎金4以色列上加利利(Upper Galilee)地区 10 个水控制器遭到攻击以色列农业OPIsrael 行动多个受害农场的灌溉系统停止运行、影响农业生产4德国武器制造商 Rheinmetall 遭受网络攻击德国制造业网络攻击业务降级运行4械制造商 Bobst 遭受了两次网络攻击瑞士制造业Black Basta 勒 索 攻击未知4测量技术和自动化供应商 Anton Paar 遭受勒索攻击奥地利制造业Black Basta 勒 索 攻击加密该公司约 10%的内部PC 和服务器4意 大 利 供 水 公 司 Alto Ca lore Servizi SpA 遭到勒索软件攻击意大利市政美杜莎勒索软件攻击 IT 系统无法操作以及访问数据库,大量主要数据被泄露。5伊朗核电生产和开发公司(AEOI)遭数据窃取泄露伊朗能源未知10 万多封电子邮件被泄露。75GB 敏感核数据被窃取。5瑞士工业自动化巨头 ABB 公司遭遇勒索软件攻击瑞士制造业勒索攻击数百台服务器被入侵,业务严重扰乱。5工控安全独角兽 Dragos 遭勒索软件攻击美国供应链勒索攻击入侵公司的 SharePoint 云服务和合同管理系统。5法国大型制造企业 Lacroix 遭网络攻击法国制造业网络攻击8 个制造工厂有 3 个受到了影响,三大工厂被迫关闭超一周5俄 罗 斯 液 压 设 备 厂 Donward Hydraulic Systems 遭 TWELVE 黑客组织攻击俄罗斯制造业网络攻击破坏 50TB 的文件存储,删除所有备份,加密了个人电脑和服务。6全球最大的拉链制造商 YKK 美国业务遭到勒索攻击美国制造业LockBit 勒索攻击未知6一家专业从事安全出入控制领域Automatic Systems 遭勒索攻击比利时制造业ALPHV 勒索攻击数据泄露6海 事 工 业 巨 头 Brunswick Corporation 遭网络攻击美国制造业网络攻击全 年 预 估 损 失 6,000 万 至7,000 万美元6美国国家实验室和核废料储存设施遭受网络攻击美国能源网络攻击未知6石油和天然气巨头壳牌证实遭到Clop 勒索软件攻击荷兰能源已知漏洞攻击/勒索软件攻击未知6全球最大的乐器制造商 Yamaha Corporation 其美国销售子公司遭遇勒索攻击美国制造业BlackByte 勒索攻击未知6施耐德电气和西门子能源成为MOVEit 漏洞的最新受害者德国/法国供 应 链/制造业CL0P 勒索攻击未知6加拿大能源巨头 Suncor 遭受网络攻击加拿大能源网络攻击全国 1500 余家加油站支付服务受到影响。网络安全2024-守初心 创新质绿盟版3-13排版.indd 93网络安全2024-守初心 创新质绿盟版3-13排版.indd 932024/5/8 17:43:112024/5/8 17:43:11094网络安全 2024:守初心 创新质月份事件国家/区域行业/系统攻击类型后果6台积电遭 LockBit 勒索软件勒索中国台湾制造业LockBit 勒索软件攻击服务器的配置和设置信息被窃取,被索要 7000 万美元赎金7日本名古屋港口控制系统遭受攻击日本交通运输LockBit 勒索攻击数据加密,集装箱运营受到影响。7俄罗斯国有的铁路公司 RZD 网站据称被乌克兰黑客攻陷俄罗斯交通运输网络攻击网站和移动应用程序瘫痪至少 6 小时,只能线下购票。7美国科罗拉多州工业巨头盖茨公司受到勒索软件攻击美国制造业勒索软件攻击公司服务器被加密并泄露了超过 11000 名工作人员的信息7挪威再生资源回收和矿业公司陶朗集团遭受“大规模”网络攻击挪威矿业网络攻击直接影响了公司的部分数据系统8美国矿业巨头自由港麦克莫兰铜金公司遭网络攻击美国矿业网络攻击生产受到部分影响。8美国芝加哥贝尔特铁路公司遭遇勒索软件攻击美国交通运输Akira 勒索软件攻击勒索团队称窃取了 85GB 的数据。8以色列 Neve Neeman 核反应堆数据库遭数据泄露以色列能源未知窃取包括官员和教授的隐私信息和 10GB 机密文件数据集。8美国能源公司遭恶意二维码网络钓鱼攻击美国能源网络钓鱼未知8日本钟表制造商精工(Seiko)遭受勒索攻击日本制造业BlackCat 勒索攻击共 6 万条个人数据遭泄露8乌克兰加油站遭网络攻击致网站瘫痪乌克兰能源网络攻击三家加油站的网站服务中断。乌克兰 200 多个加油站陷入瘫痪8波兰铁路广播网络疑遭攻击致火车延误波兰交通运输网络攻击触发了列车的紧急停车功能,多量火车紧急停止数小时。8加拿大第二大城市电力系统遭勒索攻击加拿大能源LockBit 勒索攻击数十个项目文件被公开,委员会拒付赎金,选择重建 IT基础设施。9ORBCOMM 遭遇勒索软件攻击,导致货运车队管理中断美国交通运输勒索攻击货运车队管理中断。9乌克兰某能源基础设施遭 Fancy Bear 攻击乌克兰能源钓鱼邮件攻击安全人员阻止了此次攻击活动9伊朗黑客利用 Zoho 和 Fortinet 关键漏洞入侵美国航空组织美国航空APT 攻击未知9越南石油建设股份公司(PVC)成员公司 JSC(PVC-MS)数据遭泄露越南能源勒索软件攻击勒 索 软 件 团 队 称 泄 露 其300GB 数据。9空客公司敏感数据泄露法国航空黑客入侵3,200 家供应商的数据被泄露9间谍组织 Redfly 入侵了亚洲的一国家电网组织长达 6 个月亚洲能源恶意软件攻击内网凭证被窃取,内网的多台计算机被安装键盘记录器。9新西兰奥克兰交通局的 HOP 卡遭遇重大网络攻击致票务系统部分瘫痪新西兰交通运输网络攻击/勒索软件攻击充值和其他服务中断9伊 朗 国 家 黑 客 组 织 Peach Sandstorm 攻击全球卫星和国防组织全球国防、制造业数据窃取入侵全球数千组织9加拿大航空 Flair 员工信息泄露数月加拿大航空网络攻击部分员工的个人信息和记录文件被盗。9Alphv 勒索软件组织称入侵全球汽车和其他车辆音频和视频设备制造商 Clarion日本制造业Alphv 勒索软件攻击敏感数据被盗,其中包括合作伙伴的文件。网络安全2024-守初心 创新质绿盟版3-13排版.indd 94网络安全2024-守初心 创新质绿盟版3-13排版.indd 942024/5/8 17:43:112024/5/8 17:43:11095新技术发展篇月份事件国家/区域行业/系统攻击类型后果9国际自动化巨头江森自控遭勒索软件攻击致部分运营中断美国制造业Dark Angels 勒 索 攻击公司多个设备被加密,影响其运营,被索要 5100 万美元。10摩根先进材料遭到网络攻击英国制造业网络攻击部分服务器离线10Cyber Av3ngers 黑客组织声称获得了以色列一家污水处理厂控制系统的访问权限以色列市政Cyber Av3ngers 组织CyberAv3ngers 宣称控制工厂控制和监控系统访问权限,具体影响未知。10英国电力和数据制造商 Volex 遭网络攻击英国制造业网络攻击股价下跌了 4%左右。10巴勒斯坦和以色列的黑客活动分子对 scada 和其他工业控制系统进行攻击加沙地区未知网络攻击数百个工业控制系统(ICS)被暴露10美国大型建材生产商辛普森制造公司的信息技术基础设施和应用程序遭受网络攻击美国制造业网络攻击影响公司信息技术基础设施和应用程序,公司某些业务运营中断。10黑客组织 Cyber Av3ngers 宣称关闭 200 个以色列加油站以色列能源Cyber Av3ngers 组织导致以色列 200 个汽油泵关闭,进而导致特拉维夫和海法等地多个加油站关闭10MATA 框架攻击东欧石油和天然气公司东欧能源APT 攻击对石油和天然气行业以及国防工业的十几家东欧公司的攻击。具体影响未知10知名电子计算器制造商卡西欧数据泄露日本制造业黑客入侵窃取了来自 149 个国家客户个人信息的数据库。10曼彻斯特机场、盖特威克机场等遭受 UserSec 网络攻击由英国航空DDoS 攻击曼彻斯特机场网站关闭,运营和航班未受影响。11日本航空电子公司服务器遭网络攻击日本航空网络攻击部分系统暂停使用,电子邮件收发延迟。11波音公司零部件和分销业务遭受疑似 LockBit 勒索软件攻击美国航空勒索软件攻击窃取敏感数据,影响零部件和分销业务。11DP World 澳洲公司遭网络攻击,数千集装箱滞留码头。澳大利亚交通运输网络攻击扰乱了其港口的陆路货运业务,大约 3 万个集装箱滞留港口11巴黎都市区省际净水联合会遭到疑似勒索软件的攻击,被迫断开所有外部连接。法国市政网络攻击/勒索攻击 被迫断开所有外部连接,干扰近千万人的污水处理。11美国核研究实验室爱达荷国家实验室(INL)的人力资源数据遭泄露美国能源黑客入侵数十万条人力资源数据被泄露。11斯洛文尼亚的能源供应受到勒索软件病毒的威胁斯洛文尼亚能源勒索攻击信息系统数据被加密,交易系统、火灾报警系统异常,要求 100 万美元的赎金。11美国宾州阿里奎帕市市政供水系统遭到黑客组织部分控制。美国市政网络攻击增压水泵遭受入侵11台湾中国石化遭 BlackCat 勒索软件组织攻击中国台湾能源勒索软件攻击泄露的数据大小为 41.9GB11美国北德克萨斯市政水区遭勒索攻击,大量敏感数据遭窃取美国市政DAXIN 勒索攻击窃取超过 33,000 个包含客户信息的文件。部分业务中断。11俄罗斯联邦航空运输局遭乌克兰情报部门黑客入侵俄罗斯航空黑客入侵大量机密文件被盗。12韩国指控朝鲜黑客组织 Andariel从韩国国防公司窃取敏感国防机密韩国国防勒索软件攻击/数据泄露黑客窃取了 1.2TB 的数据,包括有关先进防空武器的信息。12梅奥爱尔兰的供水系统遭网络攻击爱尔兰市政网络攻击导致 180 户人家缺水。12美国海军造船商 Austul USA 遭到勒索软件攻击美国国 防/制 造业勒索软件攻击泄露了被盗信息。其它影响未知。网络安全2024-守初心 创新质绿盟版3-13排版.indd 95网络安全2024-守初心 创新质绿盟版3-13排版.indd 952024/5/8 17:43:112024/5/8 17:43:11096网络安全 2024:守初心 创新质月份事件国家/区域行业/系统攻击类型后果12亲以黑客组织 Predatory Sparrow再袭伊朗,加油站服务遭大范围打击伊朗能源Predatory Sparrow组织伊朗约 70%的加油站服务中断。12俄罗斯水务公司 Rosvodokanal 遭受了乌克兰黑客组织 Blackjack 的网络攻击。俄罗斯市政网络攻击6000 多台电脑被攻击,50tb的数据被删除。12勒 索 软 件 组 织 声 称 日 产 汽 车NISSAN 100Gb 数据被盗澳大利亚/新西兰制造业Akira 勒索软件攻击窃取了 100gb 文件和员工信息数据12Cyber Av3ngers 以 5BTC 的 价 格提供 1TB 的所谓以色列电力数据以色列能源Cyber Av3ngers 组织数据泄露3.6.2 政策和市场党中央、国务院高度重视工业互联网发展,自 2018 年以来,工业互联网已连续六年写入政府工作报告。报告指出,支持工业互联网发展,有力促进了制造业数字化智能化。2023 年是工信部印发工业互联网创新发展行动计划(2021-2023 年)的收官之年,我国工业互联网发展已全面融入了 45 个国民经济大类,具有影响力的工业互联网平台达到了 240 个。“5G 工业互联网”发展已进入快车道,一大批国民经济支柱产业开展创新实践,全国“5G 工业互联网”项目超过 4000 个。工业互联网快速发展使得网络安全的保障性作用日益凸显,工信部为推进工业互联网安全标准体系研究发布了工业互联网安全标准体系(2021 年)。在工业互联网持续上云的趋势下,企业对网络安全自发性需求逐渐激发,配合相关单位基本建成国家级工业互联网安全技术监测服务体系,覆盖能源、汽车、电子等关键行业和平台,初步实现工业互联网安全态势可感可知。值得关注的是,ChatGPT 等人工智能技术的出现,推动我国走向工业 AI 应用的新时代。人工智能可以贯穿工业互联网的多个应用场景,为多元化的工业互联网应用提供更加智能化的解决方案,展现出广阔的发展前景。但这也给工业互联网带来了新的网络安全风险,可能会颠覆和挑战传统的网络安全防护模式,因此,工业互联网安全产业正在经历快速增长和变革。根据 Future Market Insights 研究,工业网络安全市场在(2023-2033 年)的预计年复合增长率为 7.8%,预计到 2023 年,全球工业网络安全市场的规模为 223.6 亿美元,预计到2033 年将达到 469.6 亿美元。网络安全2024-守初心 创新质绿盟版3-13排版.indd 96网络安全2024-守初心 创新质绿盟版3-13排版.indd 962024/5/8 17:43:112024/5/8 17:43:11097新技术发展篇图 3.19 工业网络安全市场预测(2023-2033 年)电力、市政等与关键信息基础设施相关的工业网络安全是市场增长的主要驱动力。回望即将过去的 2023 年,全球地缘政治持续紧张,通过网络打击对方基础设施已屡见不鲜。这加快了各国政府和企业对关基安全能力的升级。根据公开数据,截止到 11 月份工业安全企业投融资数量有 14 起,工业安全赛道依然受资本青睐。表 3.4 2023 年 1-11 月工业安全企业投融资情况序号时间投融资企业金额融资轮次12023 年 1 月六方云未披露C 轮2烽台科技2.5 亿元B 轮3天地和兴未披露D 轮4珞安科技未披露C 轮5丈八网安数千万A 轮6云天安全1.22 亿人民币A 轮72023 年 2 月观安信息3 亿元战略投资82023 年 5 月齐安科技未披露B 轮92023 年 6 月烽台科技1.2 亿元B 轮10力控科技未披露B 轮112023 年 11 月长扬科技未披露G 轮12国泰网信未披露战略投资132023 年 11 月圣博润6000 万人民币战略融资142023 年 11 月中电安科未披露A 轮3.6.3 发展趋势1.自主创新,加快了安全与业务场景相结合的定制化需求。工业互联网涉及多个垂直行业,渗透国民经济 45 个行业大类,不同行业应用的需求差异较大,这使得同质化的安全产品难以解决实质问题。无论是合规要求还是自身业务考量,企业迫切需要定制化的安全产品和服务,适用于自身的业务场景。经多年发展,我国工业互联网借鉴和吸收国外先进技术和创新理念,凭借其制造业和数字经济的优势,走出特有的技术体系和运营模式,逐渐摆脱核心技术受制于人,技术自主化程度低的问题,具备了信息安全网络安全2024-守初心 创新质绿盟版3-13排版.indd 97网络安全2024-守初心 创新质绿盟版3-13排版.indd 972024/5/8 17:43:122024/5/8 17:43:12098网络安全 2024:守初心 创新质要素与业务深度融合的能力。未来安全厂商、信息化厂商、工业企业都将会重点培养“知业务、懂安全”的力量,安全与工业互联网业务紧密结合,推动场景定制化的安全浪潮。2.数据安全成为常态化工作,技术创新将数据安全推向独立发展路线。数据安全是工业互联网安全体系的重要一环。工业企业上云和工业数据连接规模扩大,数据体量不断增加,工业互联网需要对海量多类型多源头的数据进行集成和处理。工业数据面临非授权访问、数据篡改、数据泄露、用户隐私泄露等安全威胁。未来在数据安全相关法律及标准的推动下,一方面工业企业会提升对数据安全重要性的认知,围绕“分类施策、分级管理”等基本原则建立数据安全管理体系,将数据安全管理转变为常规基础性工作。另一方面通过数据安全关键技术上的不断突破与创新,产品种类越来越丰富。数据安全技术将从传统网络安全技术中脱离,走向专业化体系化的发展路线。3.工业互联网边缘设备的潜在风险,攻击将更注重工业互联网边缘设备的突破与控制。5G、物联网、云计算技术的快速发展,增加大量的工业互联网边缘设备,这些边缘设备将工业企业遗留的老旧系统打通,实现数据的收集、处理和传输,在多个行业发挥着承上启下的关键用途,并逐渐具备更强的计算能力向智能化发展。工业互联网边缘设备在提供便利的同时,使得工业互联网的边界变得更为模糊,这为攻击者提供了新的入口点。未来工业互联网边缘设备将成为黑客攻击的首要目标,此类设备更容易被获取和研究,漏洞通用性强,利用价值高,获取到一台边缘设备的访问权限就可用作立足点来访问同一网络的其他设备,突破整个大网的安全防线,也可直接修改控制逻辑,造成物理或人员的伤害。3.7 车联网安全据公安部 2024 年 1 月 11 日统计,截至 2023 年底,全国机动车保有量达 4.35 亿辆,其中汽车3.36亿辆;机动车驾驶人达5.23亿人,其中汽车驾驶人4.86亿人。伴随汽车的逐步普及,车联网在十年内经历了巨大的技术变革,汽车智能网联功能已成为当前新车标配,百姓对汽车功能的需求越来越多元化,提供座舱娱乐、自动驾驶等功能的新型汽车部件日趋成熟,多种汽车电子电气架构随之涌现。然而,汽车网联化也带来了更多的安全风险。云端业务系统漏洞、数据泄露事件被频繁披露,车端复杂的功能带来了更多的攻击面,严重的远程控车漏洞和近场通信漏洞频现,犯罪分子甚至通过黑客发布的开源工具对汽车展开偷窃,拆解汽车后买卖零部件以获利。目前看来,汽车、车主个人信息和轨迹,是未来几年内汽车黑客的重要目标。网络安全2024-守初心 创新质绿盟版3-13排版.indd 98网络安全2024-守初心 创新质绿盟版3-13排版.indd 982024/5/8 17:43:122024/5/8 17:43:12099新技术发展篇为方便读者更清晰地从技术上理解车联网安全态势,本章就车联网技术现状、技术创新、技术趋势这三点展开讨论车联网安全新技术态势。3.7.1 技术发展现状漏洞挖掘的成果,即为攻击方法或者工具,也是当前黑客关注的焦点。具备高智能化的中高端汽车,其车主个人信息与资产是黑客和犯罪分子关注的焦点。所以,本节就车联网漏洞挖掘技术和车联网数据安全技术这两方面展开阐述。汽车云端的漏洞挖掘对象与传统的互联网云端服务基本类似,大多数是对 WEB、数据库、认证登录、邮件收发、文件传输、MQTT 等多类服务进行漏洞挖掘,进而获取管理员权限或关键业务系统数据。汽车的业务系统内部,存在车主个人信息、汽车轨迹等敏感信息,这些信息黑客是如何获取的呢?汽车的轨迹需要汽车上传自身定位信息和车主信息到云端,所以,传输敏感信息的服务是被关注的焦点之一。以 MQTT 服务为例,当手机程序或者汽车启动时,部分汽车云依托MQTT 服务上传当前汽车的状态信息到云端,此时,黑客可以通过逆向手机程序和汽车内部的固件,来获取登录 MQTT 平台的口令,进而以“合法”的身份加入 MQTT 的推送、订阅的机制中,相当于加入“群聊”进行旁听,群里每个汽车回上传自己的身份 ID 以及位置信息,甚至回附加车主信息。在车端,犯罪分子可以通过破解汽车的无线钥匙,将钥匙的认证信号复制到无线电设备中进行重放,可以偷走部分没有滚动码认证,或者滚动码算法较弱的汽车。车联网数据安全是实现车联网数据运营的前提保障,这部分工作需要分两步走。数据分级分类是数据安全保障的重要基础,也是数据治理的第一步。数据分类上,面向自身业务,聚焦对象主体进行划分,包括车辆运行数据、环境数据、个人数据等,或聚焦业务流程进行划分,包括车辆数据、研发数据、运维数据等,在大类划分下,依据业务及应用场景继续向下细分类别;数据分级上,分级明确、就高从严进行数据级别确定;数据安全保障方面,各类型企业均面向自身业务构建形成一套较为完善的数据安全保障体系,具体围绕组织建设、制度流程规范和技术支撑体系等方面展开。第二步,是使用隐私保护、数据脱敏、数据溯源等技术多方面保障数据安全合规。如何在保证数据安全和个人隐私安全的前提下实现数据流通,激发数据潜能,发挥数据价值,成为了当前车联网发展的一个挑战。隐私计算技术可以实现“数据可用不可见”,使数据“不出库”就能实现模型构建、模型预测、身份认证、查询统计等能力,将极大的丰富车联网生态的应用天地。在自动驾驶模型构建过程中,需要用到海量数据参与计算,甚至包括普通车网络安全2024-守初心 创新质绿盟版3-13排版.indd 99网络安全2024-守初心 创新质绿盟版3-13排版.indd 992024/5/8 17:43:122024/5/8 17:43:12100网络安全 2024:守初心 创新质主行驶时的数据,自动驾驶的模型构建过程可基于隐私计算技术,实现各车端原始数据不出域情况下的模型构建。模型构建好以后,在车主的行为预测(如语音指令)过程中,可基于隐私计算技术,实现车端原始数据不出域情况下的模型预测。隐私保护方面,利用同态加密、联邦学习、安全多方计算等技术,探索大模型联合训练,为车联网数据流通过程中隐私保护提供新思路;数据脱敏方面,利用人工智能等技术对车外人脸、车牌数据进行脱敏处理,防止敏感信息泄露;数据溯源方面,基于区块链、数字水印等技术保障数据不可篡改、可溯源。3.7.2 技术发展创新汽车的单价多达数十万元,这本就为车联网安全研究带来巨大的成本压力,然而,疫情的到来,为其雪上加霜。车联网安全研究,如何解决成本问题,显然是各个企业,尤其是信息安全企业,要解决的第一个难题。有没有一种车联网安全的研究环境,可以不依赖任何硬件,或者依赖极少量必要的硬件而建立呢?绿盟科技通过技术创新,研究出虚拟汽车系统,使得汽车的电子电气架构,在零部件的操作系统和 CAN 总线通信两方面得以完全虚拟化,大大降低了汽车研究的环境成本。汽车虚拟化技术也是当前车联网安全领域的一大创新亮点。对汽车的虚拟化,本质上是对虚拟电子电气架构的虚拟化,涉及四方面的技术,分别为电子电气架构、汽车总线、虚拟化软件以及车内操作系统。由于 Linux 和 Android 这两类操作系统基本覆盖全车所有关键零部件的操作系统类别,所以,针对 Linux 和 Android 操作系统的零部件进行虚拟化,是虚拟汽车研究的核心。以往,T-BOX 和车机都会连接在信息域,站在网关的角度看,他们都在同一组 CAN 接口上相连。而在我们的架构中,为了最简单地描述电子电气架构的可定制性,我们将车机和 T-BOX 分开,放在两个不同的功能域。自动驾驶控制器连接到驾驶域中,这一点保持不变,如下图所示。网络安全2024-守初心 创新质绿盟版3-13排版.indd 100网络安全2024-守初心 创新质绿盟版3-13排版.indd 1002024/5/8 17:43:122024/5/8 17:43:12101新技术发展篇图 3.20 汽车虚拟电子电气架构首先,汽车的运行环境需要有 3D 车路的呈现,运行虚拟汽车的主机必须配备性能足够强的显卡,以满足车路效果的稳定呈现。其次,还需要具备方向盘和脚踏板这类外设,可以是实车移植过来的,也可以购买游戏类的。主机需要读取方向盘的按键编码数据,将控制类信号转发到 CAN 总线后,经由虚拟零部件,转化为前端汽车的控制数据,这一转化,经由“控制引擎”完成汽车的运动控制和车灯、车门等 ECU 的控制。对于信息安全而言,需要向汽车零部件中植入安全探针,如安全 SDK、Agent 等,以满足对汽车信息安全的实时监控。网络安全2024-守初心 创新质绿盟版3-13排版.indd 101网络安全2024-守初心 创新质绿盟版3-13排版.indd 1012024/5/8 17:43:122024/5/8 17:43:12102网络安全 2024:守初心 创新质图 3.21 虚拟汽车架构这样的虚拟汽车系统,它的实战表现如何呢?下面,我们从电子电气架构的视角,观察虚拟汽车被攻击的过程。首先,构造一个攻击环境,其次,把极光 001 看作真车,使用端口扫描、木马植入等方式进行攻击,最后核对攻击是否有作用。设计攻击环境时,攻击入口设置为两个,分别是车端入口和云端入口。其中,车端的攻击具体如下所示。左侧所示为驾驶员使用方向盘和脚踏板驾驶汽车,方向盘的控制信号经由宿主机转化为 CAN 信号,发送给VCU,VCU 将控制方向盘数据转化为前端车辆需要的转向、速度、刹车、倒车等信号,将信号发送给 CAN 转 Unity 的协议转换模块,最后经 Unity 引擎时车辆在车路上驾驶。这其中所有的控制经 CAN 总线。车载以太网方面,宿主机连接外部 Wi-Fi 路由器,QEMU 使用桥接技术将启动的虚拟零部件桥接到 Wi-Fi 路由器下,与宿主机共享一个网段,其中,外部 Wi-Fi 路由器可被当做车辆热点来看待,攻击者接入热点后可对汽车零部件发起攻击。网络安全2024-守初心 创新质绿盟版3-13排版.indd 102网络安全2024-守初心 创新质绿盟版3-13排版.indd 1022024/5/8 17:43:122024/5/8 17:43:12103新技术发展篇图 3.22 热点下攻击虚拟汽车的场景具体的攻击流程为:首先,攻击者接入汽车热点;然后,在热点下对汽车发起主机扫描、端口扫描、弱口令爆破、服务利用等攻击;最后,在获取主机权限后,对零部件发起攻击,如使用 ADB 服务控制车机的空调按钮控制空调,或者发送 CAN 报文实现控车效果。具体如下图所示。网络安全2024-守初心 创新质绿盟版3-13排版.indd 103网络安全2024-守初心 创新质绿盟版3-13排版.indd 1032024/5/8 17:43:122024/5/8 17:43:12104网络安全 2024:守初心 创新质图 3.23 热点下攻击虚拟汽车的流程除了可以对其进行攻击以外,虚拟汽车还可以被作为运行汽车应用程序的环境来模拟汽车业务。在零部件的模拟过程中,使用的是 QEMU 启动的 ARM64 架构的 Linux 系统零部件,所以,一些使用该架构的实车中的零部件应用,也可以迁移到虚拟零部件中运行。最为基础的操作为,将实车零部件的根 Linux 文件系统迁移到虚拟零部件中,运行 chroot 命令切换到实车的固件环境下,运行需要被模拟的应用。具体如下图所示。应用程序名为“mv_app”的应用经过虚拟零部件启动后,与真实零部件环境下的表现一致,这个“一致”体现在两方面,分别是网络侧监听的端口一致,和对 CAN 总线的控制、收发消息的逻辑一致。网络安全2024-守初心 创新质绿盟版3-13排版.indd 104网络安全2024-守初心 创新质绿盟版3-13排版.indd 1042024/5/8 17:43:122024/5/8 17:43:12105新技术发展篇图 3.24 虚拟汽车运行实车业务的效果对监听的端口和应用,可以进行逆向分析、流量抓取等方式进行漏洞挖掘,对 CAN 总线消息的收发,可以分析车内网总线控车逻辑。利用前者,攻击者可获取零部件权限;利用后者,攻击者可以明确控车报文对部分车辆功能进行控制。从攻击角度看,虚拟汽车可以支撑汽车靶标的角色,其在虚拟电子电气架构、虚拟汽车零部件、虚拟车内网通信这三个方面与发售的汽车几乎一致。固件模拟执行和业务复现,在虚拟汽车上表现不错,也可达到多零部件联动仿真的效果。虚拟汽车的实现只是第一步,未来,还需要将道路交通的虚拟化纳入其中,使车联网安全研究即更加高效,也更“接地气”。3.7.3 技术发展趋势未来车联网发展有两个大技术方向,其一,是由国家交通战略推动的车路协同技术(V2X),其二,是由用户需求推动的自动驾驶技术(本节自动驾驶指的单车智能)。车路协同的实现,需要智能交通系统作为基建来支撑,是缓解交通拥堵和保证交通安全的重要技术手段。自动驾驶是基于各种感知信息,通过人工智能技术进行决策和车辆控制实现的,在一定程度上本身单车即可实现自主性1。伴随着车路协同产业链的逐步丰富2,和区域示范区的建立,车路协同和自动驾驶技术也将逐渐落地。针对车路协同,我们讨论两个方面的趋势,其一,是 V2X 网络架构下的一些脆1车路协同自动驾驶发展报告,https:/img.wtc- 年中国车路协同行业市场现状,https:/ 创新质绿盟版3-13排版.indd 105网络安全2024-守初心 创新质绿盟版3-13排版.indd 1052024/5/8 17:43:132024/5/8 17:43:13106网络安全 2024:守初心 创新质弱点,其二,是 V2X 网络下用户隐私信息保护。在 V2X 网络中存在车、路侧单元(RSU)、基站(eNB)、应用服务器和其他 LTE 网络设备,其中,应用服务器可作为计算设备采集、分析摄像机、激光雷达、毫米波雷达等多个传感器信息以共享路况。LTE/5G 接入网和核心网的安全性本节不做赘述,处于边缘侧和端侧的 RSU、汽车、服务器、摄像头等会成为攻击者攻击的对象。一方面,这些设备的操作系统为 Linux、Android 等,攻击者攻击类操作系统所使用的手段相对成熟;另一方面,攻击者攻击到这些节点后,可以篡改这些设备生成的各类数据,以欺骗 V2X 网络中的其他节点,使其“谎报军情”,以达到攻击的目的。V2X 网络中各个单元之间的交互可如下图所示。图 3.25 V2X 通信网络结构在 V2X 网络下,车辆需要共享位置信息给路侧和其他车辆,用户的隐私信息存在一定的安全隐患,用户隐私信息泄露的担忧可能会为其发展带来一定的阻碍。研究表明,用户选择是否同意将隐私数据共享时考虑的因素中,自身利益,尤其是安全性,是放在第一位的1。所以,在车路协同基础技术建设完成后,第一项进一步的工作,可能是需要加强对用户隐私的保护,使更多的用户“同意”将自己的汽车加入 V2X 的“群聊”而确保不被旁听或泄密。自动驾驶技术,从结构上看,大体可分三个部分,分别是感知层,计算决策层和执行层。顾名思义,感知层收集摄像头、雷达的数据,供计算决策层分析路况,当路况信息分析完成,需要对汽车下一刻行为做出决策,比如刹车、变道、加速等。计算决策层是自动驾驶的“脑”,1Understand UsersPrivacy Perception and Decision of V2X Communication in Connected Autonomous Vehicles,https:/www.usenix.org/system/files/sec23fall-prepub-346-cai-zekun.pdf网络安全2024-守初心 创新质绿盟版3-13排版.indd 106网络安全2024-守初心 创新质绿盟版3-13排版.indd 1062024/5/8 17:43:132024/5/8 17:43:13107新技术发展篇所以本节将重点分析计算决策层的安全性。为“脑”提供算力的是自动驾驶控制器,代表芯片厂商为英伟达和 AMD,尤其是英伟达,已在理想、未来、比亚迪等多个厂商高端汽车中装配。从英伟达提供的白皮书1可知,该控制器使用的是 Linux 或者 QNX 操作系统,系统之上为传感器、神经网络、车辆硬件抽象等库,进而基于各类软件算法,实现路径规划、L2 级别自动驾驶、自动泊车等自动驾驶功能。从系统层看,该控制器可以存在 SSH、TELNET 等具备 Linux 操作系统管理属性的服务,该控制器一旦被获取权限,整车“大脑”即被控制。从应用层看,各种应用层输入的传感器数据、产生的分析结果数据、输出的控车执行命令都将影响汽车的驾驶,黑客可以通过这类数据以影响、控制汽车的驾驶。图 3.26 英伟达自动驾驶控制器软件结构未来,单车智能级别的自动驾驶普及后,单车智能与车路协同会形成一体,形成高级别的交通模式,其网络安全风险也将随之聚合,用户隐私也将进一步对外暴露,单车漏洞可造成的威胁也将扩散到整个 V2X 网络范围。构建 V2X 产业链的过程中,建议将基础夯实的网络安全厂商也纳入其中,对 V2X 的网络做整体的信息安全防护设计,以减少自动驾驶和车路协同落地后,信息安全漏洞带来的威胁。1NVIDIA DRIVE,https:/ 创新质绿盟版3-13排版.indd 107网络安全2024-守初心 创新质绿盟版3-13排版.indd 1072024/5/8 17:43:132024/5/8 17:43:1304总结网络安全2024-守初心 创新质绿盟版3-13排版.indd 108网络安全2024-守初心 创新质绿盟版3-13排版.indd 1082024/5/8 17:43:132024/5/8 17:43:13109总结受全球关联外部影响因素日益复杂影响,网络安全态势从国家、社会、企业组织多个层面呈现出瞬息万变的形势,网络安全的竞争格局也从传统攻防双边关系不断蔓延融合业务、法律、军事、技术因素,形成需要平衡质量、安全、发展乃至经济、政治的多边关系。实现安全目标于当前态势情形下,也不再单纯只需要考虑既有业务的维持与信息化安全,还需要考虑局部争端下行业与产业安全问题,以及在数字化、智能化不断推进革新的时代大背景下,如何保持长期竞争力,考虑关乎组织机构未来可持续发展的转型问题。及时掌握国际网络安全态势,有效进行网络安全建设,对于组织机构实现安全稳定发展至关重要。于未来,我们相信平衡安全与发展的态势不变。既要保证产业自身健康有序发展,做大做强,同时也要防止垄断发生;既要鼓励企业发展国际市场,但围绕国家安全进行的自主可控、出境合规的底线必须坚守。我们也相信组织机构积极融入国家高效安全治理体系建设的态势与价值不变,因为提升国家治理体系与治理能力是各行业共同鼓励的目标,行业自身需要努力创新、不断进取,这也是实现组织机构多方面、深层次高质量发展的必由之路。网络安全2024-守初心 创新质绿盟版3-13排版.indd 109网络安全2024-守初心 创新质绿盟版3-13排版.indd 1092024/5/8 17:43:142024/5/8 17:43:14

    浏览量44人已浏览 发布时间2024-05-15 115页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • EMQ:2024工业新质生产力最佳实践报告(20页).pdf

    目录前言.1工业场景中的新质生产力.2工业数字孪生.2实时工业数据采集与集成.2实时分析与可视化.3智能运营(设备状态监测与预测性维护、异常事件告警、远程运维服务).3制造流程控制与优化.4生产过程控制与优化.4产品质量溯源.5数据驱动的工业智能.5智能供应链管理.5视觉 AI 缺陷检测.6EMQ 赋能工业新质生产力.7NeuronEX:多源数据接入与集成、智能边缘流式计算.7EMQX Enterprise:构建企业级工业统一接入平台.8EMQX ECP:工业互联数据平台、云边协同管理.9工业制造行业最佳实践.11深南电路股份有限公司.11解决方案.12项目收益.13常州皓鸣信息科技有限公司.14解决方案.15项目收益.16白皮书EMQ 工业新质生产力最佳实践联系我们,了解更多工业解决方案1前言过去 20 年,消费互联网重塑了每个人的生活方式。当下,工业互联网正深刻改变着生产制造的各方面。传统的工业产业体系正在迅速向智能化转型,融合数据感知、互联互通、先进计算、智能分析等全新能力,创造新的工业价值,形成新质生产力。作为拥有完整工业体系的制造业大国,我国正大力推动工业制造业向数字化、网络化、智能化的转型。在我国十四五数字经济发展规划中,国家鼓励适合条件的大型企业向数字化方向转型,建立一个整体的数字平台。整合企业内部的各种信息系统,让数据能够全面的流通,更快协同所有的业务环节,形成数据驱动的智能决策的能力。这一进程中,数据成为新型的生产要素。而工业数据基础软件,也正成为推动这些转型的核心组件。作为全球领先的数据基础设施软件供应商,EMQ 针对工业制造领域的数字化转型,提供完整的云边协同的解决方案。帮助制造企业解决各类数据需求,将工业数据价值化。解决方案包括工业数据采集、数据分析、数据交换、数据汇聚以及数据价值挖掘。通过 EMQ 的工业解决方案,企业可打通数据链路、一体化采集、处理和集成海量工业数据,实时监测各类设备以及资产情况。管理层可及时了解生产过程,做出决策和调整,提高生产效率和产品质量。同时,方案还支持数据分析和挖掘,助力企业利用 AI(人工智能)和 ML(机器学习),从大量的生产数据中提炼有价值的信息和洞察。例如,通过分析设备的工作状态和性能数据,可预测设备故障,并采取相应的维护措施,避免生产中断和损失。这份白皮书介绍 EMQ 在工业制造领域的解决方案与最佳实践,面向各类工业制造企业以及行业合作伙伴。希望借此白皮书与广大制造业合作伙伴一同推动工业互联网带来的产业变革与机遇。白皮书EMQ 工业新质生产力最佳实践联系我们,了解更多工业解决方案2工业场景中的新质生产力EMQ 提供的工业制造行业解决方案旨在推动数字化转型,利用软件定义、云边协同、边缘计算和实时数据采集、传输等技术,形成数据驱动的工业智能决策能力。该方案包括工业数据采集、连接、移动、处理、集成和价值挖掘,帮助工业企业更好的管理生产流程和各类资产,包括工业数字孪生、制造流程控制与优化以及工业人工智能。同时,帮助企业打通数据孤岛,形成新的优质数据资产,利用 AI 和 ML 从大量生产数据中提炼有价值的信息和洞察。在数字化转型过程中,工业企业面临数据流通不畅和海量数据采集难题。EMQ 软件定义、云边协同的解决方案,包括部署在边缘端的工业协议网关软件 NeuronEX、部署在云端的统一MQTT 接入平台 EMQX Enterprise 以及工业互联数据平台 EMQX ECP。该方案可整合企业内部各种信息系统,实现数据全面流通,助力制造业数字化、实时化、智能化转型升级。EMQ 云边协同工业制造解决方案架构图工业数字孪生实时工业数据采集与集成制造业工厂中,由于各种设备和系统采用不同的协议和格式,数据往往被限制在各自的“数据白皮书EMQ 工业新质生产力最佳实践联系我们,了解更多工业解决方案3孤岛”中,无法有效地流通和共享。这不仅导致企业的数字资产零散分布,也限制了工厂智能化和高效运营的能力。EMQ 的解决方案通过整合生产车间制造数据和企业系统,可实现实现工厂数据的统一采集与集成,为企业提供全面、一致、实时的数据视图,让企业更深入了解业务,做出更明智的决策,实现更高效的生产流程。工业协议网关软件 NeuronEX 是一款面向工业领域的设备数据采集和边缘智能分析的软件,支持 Modbus、OPC UA、Siemens、Mitsubishi、Ethernet/IP、IEC 104 和 BACnet 等多种工业领域协议,主要部署在工业现场,可支持各类工业设备通信及工业总线协议的实时采集、工业系统数据集成、边端数据过滤分析及 AI 算法集成以及工业互联网平台对接集成等功能,为工业场景提供低延迟的数据接入管理及智能分析服务。实时分析与可视化实时数据分析与可视化能够将复杂多样的生产数据通过高效分析转化为直观易懂的图表展示,帮助管理层迅速把握工厂运行状况,制定精准的战略决策,并根据实时数据反馈快速调整优化方案。帮助企业灵活适应市场变化、提高管理水平、实现可持续发展。EMQ 通过云边协同的产品组件,能够帮助工厂有效优化生产数据,从感知到处理,再到展示的全过程。边端通过工业协议网关软件 NeuronEX 一站式接入各类异构设备并实时稳定传输数据,同时在边缘端对数据清洗、预处理、实时逻辑处理任务,减轻云端上传的数据压力。最后,云端的 EMQX 统一接入平台提供高并发、低延迟的数据传输服务,并集成各类数据库与数据系统,实现数据高频持久化存储,为各级别(车间、厂级中心、集团云)的生产数据可视化应用构建统一且高效的数据消费架构。智能运营(设备状态监测与预测性维护、异常事件告警、远程运维服务)随着 5G、大数据和 AI 技术的发展,现代工厂对智能运营的需求日益增长,需要工厂能够实时监控设备运行状态并预测可能发生的故障,感知异常事件并迅速告警,并拥有远程运维与服务能力。这要求工厂具备高效的实时数据处理、数据集成、边缘计算、数据存储与管理、数据白皮书EMQ 工业新质生产力最佳实践联系我们,了解更多工业解决方案4安全与隐私保护、合规性遵守以及远程访问与控制等能力。这些综合数据能力是实现智能工厂运营的基础,支持工厂在快速变化的市场环境中保持竞争力。EMQ 的工业协议网关软件 NeuronEX、统一接入平台 EMQX 以及工业互联数据平台 EMQXECP 共同为工厂智能运营提供了一套全面的解决方案。在边缘端,NeuronEX 支持对 PLC、CNC、机器人等设备数据的实时采集和统一接入,并进行数据清洗、预处理,助力企业监测设备状态、预测设备故障,以及提前发出预警并安排预防性维修。同时,EMQX ECP 能够在边缘端进行逻辑运算和事件处理,通过其边缘流式分析引擎高效处理异常事件。而在云端,EMQX平台则负责汇聚工厂设备数据,在云层面实现异常事件的统一指挥调度和预案优化。此外,EMQX ECP 还提供边缘服务管理,通过集中化的控制和自动化的工具,极大地简化了远程运维与服务的复杂性,例如支持批量操作,可以一次性对多个设备进行部署、升级或启停,提高了运维效率。制造流程控制与优化生产过程控制与优化生产过程控制与优化已经是工厂提升竞争力的关键。要实现基于数据的智能化决策,工厂需要将原先依赖工人和专家经验的决策模式,转变为基于机器或系统自主建模、决策、反馈的模式。通过实时数据采集和算法模型构建,工厂可以洞察生产过程中的问题、优化生产流程、确保产品质量,并实现更广泛的流程管理和决策。经过工业协议网关软件 NeuronEX 对多源数据的高效采集,解决方案能够高效采集并整合来自工厂机器设备、生产经营业务、产品设计工艺以及各类生产管理软件的多维度数据。这些数据经过汇聚分析后,不仅优化了生产过程,还显著降低了生产损耗,提升了生产产出。该解决方案通过实时监控生产进度,允许企业动态调整生产参数,从而确保产品质量的持续提升和生产效率的优化。此外,借助数据分析和优化,企业能够有效减少资源浪费和停机时间,进一步迈向精益生产的目标。白皮书EMQ 工业新质生产力最佳实践联系我们,了解更多工业解决方案5产品质量溯源智能制造的发展趋势下,生产过程更加分散、灵活、复杂,这要求企业必须全面提升质量管控能力。产品质量溯源能够追踪整个制造过程中的数据,通过分析找到影响产品质量的原因,从而为改进生产流程提供依据,提升质量管控能力,确保产品的高质量和市场竞争力。EMQ 产品质量溯源的解决方案,通过云边协同架构,实现对海量工业设备的实时数采、边缘智能分析、以及云端实施存储与高效查询。在边缘端,利用工业协议网关软件 NeuronEX 与工业互联数据平台 EMQX ECP 统一采集多源异构的工业数据、并对数据进行实时计算、分析、过滤以及清洗。同时,云端的 EMQX 统一接入平台可将边端采集分析的数据进行统一汇聚,推送入数据库及大数据系统进行存储,为产品质量溯源构建了系统化的底层数据架构。EMQX支持每秒千万级数据测点的实时入库的写入性能,可弹性适应企业的海量数据采集变化。数据驱动的工业智能智能供应链管理激烈的市场竞争和逐渐多样化的客户需求,让传统的供应链管理方式已难以满足企业对于高效资源利用、精准成本控制与高超运营效率的要求。因此,工厂需要引入智能供应链管理,通过对物料采购、库存跟踪、订单管理、物流配送等环节的数据进行实时监控和分析,优化资源配置,降低运营成本,以满足市场和客户的需求。EMQX 作为一款强大的企业级统一接入平台,可以处理大规模并发的消息传输,确保系统的稳定运行。它支持多种消息协议接入能力,能够与各种车载设备、交通物联网设备和其他平台应用进行灵活通信。此外,EMQX 还提供了数据集成功能,可以与各种数据存储服务、消息队列、云平台和应用程序进行无缝集成,实现数据的远程传输和云端分析,帮助工厂提供全面的智能供应链管理解决方案。白皮书EMQ 工业新质生产力最佳实践联系我们,了解更多工业解决方案6视觉 AI 缺陷检测缺陷检测是智能工厂所需要的关键能力。产品质量直接影响企业的生产效率、成本和市场竞争力。利用深度学习等技术,视觉 AI 缺陷检测技术可对产品图像进行深度学习和训练,从而准确识别产品的各种缺陷、异物等,大大提高了检测的精度和效率,进而推动工厂实现零缺陷生产和工艺优化升级。工业协议网关软件 NeuronEX 可实现视觉 AI 缺陷检测设备与工厂自动化设备之间的紧密联动。一旦视觉 AI 检测到产品缺陷,NeuronEX 能够迅速响应,通过工业协议将指令实时下发给报警器,触发告警信号或启动自动化纠错流程,如产品分流、设备调整等。实现从检测到响应的闭环控制,有效提升生产线上缺陷产品的处理效率和质量控制水平。同时,处理后的数据将实时传输至云端的 EMQX 统一接入平台,助力工厂建立缺陷检测图像数据和业务数据库。白皮书EMQ 工业新质生产力最佳实践联系我们,了解更多工业解决方案7EMQ 赋能工业新质生产力在工业制造行业的数字化转型过程中,工业企业经常面临数据流通不畅、海量工业数据难以实时采集和分析,以及网关数字化硬件部署与运维成本过高等挑战。通过广泛部署感知设备和物联网基础设施,EMQ 工业行业方案打破烟囱型的数据体系,实现了不同异构协议、数据模型和语义规范的统一汇聚与分析。这使得全要素、全产业链和全价值链的状态信息能够得到全面、深度和实时的监测。方案帮助工业企业通过融合工业模型与数据科学的方法,对采集到的数据进行分析和优化,从而形成数据驱动的智能决策能力。这将有助于从根本上帮助企业提高生产效率、降低成本、增强安全性,并推动整个工业制造行业的数字化转型进程。多源数据接入与集成、智能边缘流式计算在工业领域,由于各种工业协议的使用广泛,设备种类繁多,数据的接入与集成是一项极具挑战性和重要性的任务。EMQ 的工业协议网关软件 NeuronEX 支持多种常用工业协议,使得NeuronEX 能够实现 PLC、CNC、机器人、SCADA 以及智能仪表等设备数据的实时采集,并将其统一接入到数据平台中。除了数采功能,NeuronEX 还能将所采集的数据集成到工厂内的各类其他系统中。这包括传统的 PLC、SCADA、DCS 等系统,以及 MES、WMS、ERP 等生产管理软件。此外,NeuronEX还支持与 ESB 企业服务总线、各种数据库以及第三方软件的集成。同时,NeuronEX 还具备集成非结构化数据的能力,如视频和文档等。NeuronEX 工业协议网关软件也在边缘端提供流式规则引擎。通过丰富的内置函数,可实现在设备端进行低时延的数据清洗、数据预处理、事件逻辑处理等边缘计算需求。NeuronEX 还支白皮书EMQ 工业新质生产力最佳实践联系我们,了解更多工业解决方案8持自定义函数扩展,集成 AI 算法,调用 Python 科学计算、机器学习及深度学习算法库。结合实时数据流,软件可以实现边缘端的实时 AI 推理计算,推动设备参数调优、视觉 AI 识别、预测性运维等创新性业务场景。综上,NeuronEX 提供了以下特性:1.统一连接:NeuronEX 提供多协议接入能力,支持如 Modbus、OPCUA、Ethernet/IP、BACnet、Siemens、Mitsubishi 等数十种工业协议的同时接入;提供企业内 MES、WMS等各系统多数据源的集成对接;NeuronEX 同时支持数据流的双向打通,既可实现数采,也支持控制指令下发到设备。2.流式处理:NeuronEX 包含 100 内置函数,支持数据过滤、数据操作、设备控制以及数据持久化,将数据存储于时序数据库中。3.无缝集成:支持将 C/python/go 等语言的算法集成到 NeuronEX,支持工业机理模型、机器和深度学习等模型在边端的实时推理,输出告警及智能决策。4.灵活部署:NeuronEX 具有极低的内存占用,在 x86、ARM、RISC-V 等低配置架构设备上运行表现出色。此外,它还支持类似 Docker 的容器化部署,能够与 K8s 环境中的其他容器共同运行。5.边缘到云:通过 MQTT、SparkplugB 等协议,NeuronEX 将工业数据推送汇聚到云平台,NeuronEX 与云平台之间的双向数据流,形成云边数据协同及控制协同,利用平台侧大数据存储及分析能力,放大 NeuronEX 使用价值。构建企业级工业统一接入平台EMQX Enterprise(下文简称“EMQX”)基于 MQTT 协议,可帮助工业企业构建了企业级工业白皮书EMQ 工业新质生产力最佳实践联系我们,了解更多工业解决方案9数据统一接入平台,具有以下特点:1.统一接入平台:传统的制造业工厂通常采用 ISA95 架构下的点对点通信模式,而基于EMQX 的应用开发和集成则更加便捷。简化设备与系统的连接过程,提高了整体效率。2.高数据时效性:数据传输的低延迟确保了实时监控和快速响应。这为建立各种智能应用(如智能告警、下发指令、设备自主决策等)提供了有力支持。3.统一数据存储:此平台打破了数据孤岛,为企业实现数据资产的统一管理提供了便利。帮助企业构建工厂的数据模型,更充分地挖掘和利用数据价值。4.架构灵活扩展:EMQX 采用高可用集群架构,支持动态水平扩展。其热升级和热配置功能确保了系统具备高水平的的服务水平协议(SLA)。这为企业提供了强大的可扩展性和稳定性保障。工业互联数据平台、云边协同管理EMQX ECP 作为一款面向工业 4.0 的工业互联数据平台,旨在满足工业场景大规模数据采集、处理和存储分析的需求,ECP 提供边缘服务的快速部署、远程操作和集中管理等功能,助力工业领域实现数据互联互通,并驱动生产和运营决策。ECP 具备强大的云边协同管理能力,可为云端的 EMQX 集群实例提供基于项目的分类与管理监控。通过云边统一的 Web 管控界面,ECP 不仅实现了对边缘软件 NeuronEX 的远程配置,还提供了实时监控及日志分析等功能。这大大提高了平台的后期运维和管理效率,为工业企业的数字化转型提供了有力支持。ECP 的主要功能包括:1.边云协作:EMQX ECP 边缘服务管理实现了对边缘软件 NeuronEX 等边缘服务部署、管理、配置下发、批量操作、监控和优化。通过提供统一的管理平台,实现双向数据传输与白皮书EMQ 工业新质生产力最佳实践联系我们,了解更多工业解决方案10运管边能力;2.多集群管理:在分租户分项目的基础上实现多集群管理,可以创建新集群或纳管已有集群,并对管理的集群进行修复、水平和垂直扩展、修改网络类型、修改连接数、升降级、集群转让和删除等操作;同时集成 EMQX Dashboard,方便用户直接在 ECP 平台操作和配置EMQX 集群;3.多组织多项目管理:EMQX ECP 提供的组织管理功能是一个支持企业级多租户的管理系统,能够实现不同组织的资源隔离和管理。EMQX ECP 可以在同一平台中为多个企业或业务部门提供隔离的 EMQX 数据基础架构服务,每个组织都能够使用自己的数据和配置,互不干扰,保证数据安全。4.企业级安全性:基于角色的访问控制(RBAC)、单点登录(SSO)、链路加密以及带审计的操作日志确保企业级安全性。5.监控运维与告警:ECP 的监控平台提供了在云端 EMQX 集群和边缘端进行统一管理和监控的方案。在 ECP 平台中,系统会收集和分析来自云端 EMQX 集群和边缘端的监控数据,以提供更全面和精细化的管理和监控进行预测故障和风险。白皮书EMQ 工业新质生产力最佳实践联系我们,了解更多工业解决方案11工业制造行业最佳实践深南电路股份有限公司深南电路股份有限公司(以下简称“深南电路”)是中国印制电路板行业的领先企业,主营业务包括印制电路板、封装基板以及电子装联等。多年来,公司始终坚持客户至上、技术引领的原则,凭借专业的产品研发与制造技术、稳定的质量表现以及健全的管理体系,逐步发展成为世界级的电子电路技术与解决方案提供商。为响应我国智能制造的战略规划,加速工厂智能化转型,深南电路成立了智能制造研究院和智能制造推进部,以此推动工厂的智能化转型进程。在建设智慧工厂建设的过程中,深南电路主要面临以下挑战:设备数据的实时、统一采集:智能工厂的前提是对工厂内各节点的设备信息、传感器数据进行及时的采集和处理。然而,在数据采集的过程中,由于设备协议的多样性,数据格式难以统一。以深南电路无锡工厂为例,其运行着多家供应商的二十余种类型的 PLC 设备,使用的协议各不相同,这为设备间的通信和数据格式统一带来了很大难度。设备间协同控制:智能制造发展的过程是对制造过程的范围领域不断深化的过程,是从自动化单点、低水平、有限的资源优化配置向多点、高水平、全局的资源优化配置演进的过程。目前,工厂各产线设备可以实现单机自动化高效运行,但如何利用物联网和边缘计算技术实现多工序间的协同配合,是智慧工厂的重要方向和挑战。边缘数据分析能力:由于 IC 类产品制作工艺复杂,生产过程中的工艺参数、状态数据等需要高频采集存储,为产品质量溯源提供数据支撑,并针对缺陷产品向客户提供质量分析报告。因此,将边缘计算能力引入智慧工厂,对冗余生产数据进行实时清洗上报,降低数白皮书EMQ 工业新质生产力最佳实践联系我们,了解更多工业解决方案12据存储压力,增强数据分析溯源能力,是智慧工厂的挑战和难点。数据规模对基础架构带来的挑战:由于企业需要将工厂的设备数据进行实时采集、互联互通及统一存储,这对数据基础设施软件提出了更高的要求,需要有更好的扩展性和稳定性。解决方案在经过对多种技术框架的综合评估后,深南电路决定采用EMQ的云边协同架构来解决海量设备数据的连接、传输、处理、存储与分析。在边缘端,深南电路使用了 EMQ 的边缘工业协议网关软件 NeuronEX,它能够将不同工业协议统一转换为 MQTT 协议。这样,数据就可以被上报到边缘侧的轻量级消息服务器NanoMQ,在边缘侧完成数据的实时采集、分析和过滤等功能。在云端,深南电路部署了带有集群功能的 EMQX 统一接入平台,以承载海量物联网终端的MQTT 连接。1.NeuronEX 支持 80 余种工业现场总线数据接入,能够实时采集产线上的各类 PLC 设备数据,并转换成标准的 MQTT 协议上报。同时,它还支持数据的双向收发,包括数据上白皮书EMQ 工业新质生产力最佳实践联系我们,了解更多工业解决方案13报和指令下发。通过 Restful API 接口,可构建智能上层应用。利用 NeuronEX 的数据下行通道,可实现工序间的协同配合,进一步提高工厂智能化水平。2.数量众多的边缘侧传感器产生大量的数据,但是并不是所有的数据点信息都需要存储,需要对其进行过滤清洗来减轻网络和存储压力。在深南电路的智慧工厂项目中,边缘侧部署了具有边缘流式数据处理引擎功能的 NeuronEX。这款产品以容器化的方式在现场工控机上运行,凭借其高性能和轻量化的特点,对实时数据流进行基于规则的数据过滤及处理,并将结果推送到 EMQX。通过 NeuronEX 的数据过滤功能,可以降低后端数据存储的压力,并加强产品质量追溯能力。3.云原生分布式物联网接入平台 EMQX 将 NeuronEX 采集的数据进行统一汇聚,并将其推送到数据库和大数据系统进行持久化存储。EMQX 可以支持百万级别的设备接入和消息并发吞吐,同时支持多种协议和认证方式。为了实现数据的快速处理,项目还引入 Kafka 消息队列来解决消息产生速度快与持久化写入能力慢的冲突。4.EMQ 云边协同管理平台提供了统一 Web 管控界面,使得分散部署在工厂工控机上的NeuronEX 等软件能够得到统一管理。实现边缘软件的远程配置、实时监控及日志分析等功能,降低了现场运维的成本,提高了工厂智能化水平。项目收益通过采用云边协同的架构,众多与生产过程密切相关的业务逻辑被前移到边缘端的服务器进行处理,从而加快了数据处理与传输的速度,减少延迟,为中心服务器节省了宝贵的空间和资源,使服务能力提高了一个数量级。该项目的顺利实施使公司具备了海量物联网数据的采集能力,同时数据的持久化为公司后续的数据建模、数据挖掘及 MES 业务拓展提供了坚实的基础。此外,项目还带来了许多立竿见影的收益。例如,通过应用 NeuronEX 的边缘分析功能,对生产过程中产品的上下限值进行实施监控,及时发现不符合过程特性的产品并报警,使工厂的相关管理人员可以提前介入,提高产品的良率。白皮书EMQ 工业新质生产力最佳实践联系我们,了解更多工业解决方案14该项目中使用的 NeuronEX、EMQX、NanoMQ 等组件实现了高效对接。各组件提供了方便的 Web 交互页面,便于维护人员配置连接属性,监控连接状态,编写和启停相关的业务规则,减轻了项目的后期维护压力。常州皓鸣信息科技有限公司常州皓鸣信息科技有限公司(以下简称“皓鸣信息”)成立于 2016 年,是中天钢铁集团有限公司全资控股的信息化子公司。皓鸣信息承担了淮安中天钢铁超高强精品钢帘线项目的建设任务。该项目专注于高端钢帘线产品的生产,目标在于建设全球首家金属材料深加工的灯塔工厂,并成为全球钢帘线行业在智能化改造和数字化转型方面的标杆。项目希望基于海量的工业数据,利用云边协同一体化的数据管理优势。通过将工业模型与数据科学相融合,对产线设备进行分析和优化,减少意外停线等产能损失,降低运维成本,提高产品质量,提升数字化、智能化水平。在智能化转型过程中,项目主要面临以下挑战:1.网关数采硬件部署运维成本高:淮安钢帘线工厂数字化项目涉及到多道工序和众多产线设备,需要实现对 5000 多套来自不同厂家的 PLC 设备进行实时数据采集。传统方案要求在工厂内部安装数百套数采网关盒子,通过这些网关盒子连接生产 PLC,以完成数据采集和传输到数据库。这种方案不仅硬件采购成本高,而且在部署和安装过程中,涉及到供电、接线以及防水防尘等要求,导致现场部署实施周期长且成本高昂。此外,后期运维涉及上百台网关盒子的管理维护,工作量大、进一步增加了运维成本。2.系统集成与智能调度优化:淮安钢帘线工厂涉及生产设备、自动导引车(AGV)、制造执行系统(MES)以及企业服务总线(ESB)等多个系统。由于这些系统由不同供应商提供,因此导致了系统间的互操作性差和协同工作问题。为了提升生产效率和资源利用率,工厂白皮书EMQ 工业新质生产力最佳实践联系我们,了解更多工业解决方案15需要实现生产设备、MES 和 AGV 等系统的集成,以确保各个设备、系统能够自主交互、协同工作,从而实现智能调度、优化生产流程、并提升交付效率。3.工厂数据智能化的挑战:通过设备数据采集,淮安钢帘线工厂能够获取大量生产和运营数据,这些数据为实时监控、深度分析和决策支持提供了有力支撑。然而,如何对数据进行实时分析,制定更加准确和及时的决策,进而提升产品质量、降低成本并增强竞争力,这对工厂的数字化转型提出了挑战。解决方案在对比了多种技术方案后,皓鸣信息最终决定在淮安钢帘线工厂采用 EMQ 的工业解决方案,以实现海量设备数据的采集、汇聚与存储。项目采用了基于边缘计算的云边协同架构。在边缘侧,利用 NeuronEX 实现工厂内数据的统一采集和计算处理,将不同工业协议统一成 MQTT协议,然后将数据上报汇聚到部署在云端的 EMQX,承接海量工业数据的实时汇入、存储和处理。最后通过工业互联数据平台 EMQX ECP 对 NeuronEX、EMQX 进行统一管理运维,为工厂打造了高性能、高可用数据基座。工业数据采集白皮书EMQ 工业新质生产力最佳实践联系我们,了解更多工业解决方案16淮安钢帘线工厂作为新建设的工厂,其现场各产线的 PLC 设备都具备以太网接口,可直接接入工厂生产网络。通过在工厂数据中心服务器部署 NeuronEX,能够实时采集产线上的各类PLC 设备数据,并将其转换为标准的 MQTT 协议后上报给 EMQX。NeuronEX 不仅支持数据的双向收发,包括数据上报和指令下发,同时还提供了 Restful API 接口和 MQTT 订阅通道,极大的方便与 ESB、MES 系统实时交换数据,从而实现生产协同配合,提高工厂智能化水平。工业流数据处理在面对海量工业数据时,通过在工厂数据中心服务器部署同样具备流式数据处理引擎的NeuronEX,可对实时数据流进行基于规则的过滤及处理,并将结果推送到 EMQX。NeuronEX的数据过滤功能不仅能够发掘高价值数据信息,降低后端数据存储的压力,还能加强产品质量追溯能力。此外,经过训练的工业机理模型或 AI 模型可以下发到 NeuronEX 上,实现边缘实时推理和决策,对现场设备的工艺参数进行优化。企业级物联接入平台 EMQX 负责将 NeuronEX 采集的数据进行统一汇聚,并基于内置的规则引擎创建各类数据库资源,添加数据转发规则和动作,实现一键式将各类设备数据转发到时序数据库进行存储,形成企业统一的数据资产。这种 EMQX 联合时序数据库的方案可以支持百万级数据点位的实时接入存储,性能优异。工业云边协同在云边协同管理方面,工业互联数据平台 EMQX ECP 提供了统一 Web 管控界面,对淮安钢帘线工厂部署的几百套边缘软件 NeuronEX 进行统一管理,监控其状态、收集日志并实时推送告警信息。此外,该平台确保了边缘软件的高可用性,并提供一键式边缘软件版本升级管理,从而显著提高了整个系统的可维护性和易用性,大幅降低了运维成本。项目收益白皮书EMQ 工业新质生产力最佳实践联系我们,了解更多工业解决方案17淮安钢帘线工厂通过实施 EMQ 的制造业解决方案,获得了以下收益:1.生产效率和质量提高 9%:通过实时监控和数据分析,精确追踪生产指标、及时发现潜在问题,并迅速调整生产计划。这不仅提高了工厂的生产效率、减少了生产周期,还确保了产品的高质量,从而增加了客户满意度。2.设备停机时间降低 24%:通过实时设备监测和智能告警功能,淮安钢帘线工厂有效减少了设备故障和停机时间。通过对设备数据进行分析,可以预测设备的健康状况,提前采取维护措施,避免因设备突发故障导致的停产和生产延误。这一改进提高了生产线的可靠性和稳定性,降低了维修和停机成本,进一步提升了生产效率和盈利能力。3.运维成本降低 15%:项目建设的云边协同平台,助力淮安钢帘线工厂实现了更高效、更智能的设备运维管理。通过远程监控和自动化数据收集,现场运维人员能够实时了解设备的工作状态和性能表现,及时发现潜在的异常情况,并进行远程诊断和故障排除。这种方式不仅降低了运维人员的工作强度和成本,还显著提高了设备的可靠性和维护效率。2013-2024 杭州映云科技有限公司版权所有获取更多技术干货免费试用 EMQX Enterprise连接物理世界与人工智能EMQ(杭州映云科技有限公司)是全球领先的物联网数据基础设施软件供应商,交付全球领先的开源、云原生 MQTT 消息服务器,为企业云边端的海量物联网数据提供高可靠、高性能的实时连接、移动、处理与集成。公司成立于 2017 年,旗舰产品 EMQX 拥有来自 50 多个国家的 500 多家企业用户,连接全球超过 2.5 亿台物联网设备。访问官网:连接物理世界与人工智能免费试用 EMQX Enterprise:https:/

    浏览量198人已浏览 发布时间2024-05-14 20页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 用友:2024大型企业司库体系建设白皮书(51页).pdf

    数字经济进入乘数阶段,数智的融合驱动经营管理已经成为全球领先企业的共识,领先企业也积极推进建设世界一流财务管理体系,通过数据驱动智能化,开启全面财务数智化建设。在这一阶段,卓越的司库运营体系是财务数智化的核心能力,利用领先技术深度挖掘数据价值,智能引导管理决策链、生产经营链、客户服务链更加敏捷高效协同,增强战略決策支持深度,走向价值财务。付建华 用友网络 副总裁 财务产品管理与解决方案事业本部总经理司库体系是企业财务管理中非常关键的内容,它不仅关系到企业日常的资金流动和风险管理,还涉及到企业长期财务健康和战略发展。随着经济全球化和市场环境的变化,司库的角色变得更加复杂和挑战性,同时也更加重要。在改革与转型的浪潮中,本报告以探寻新路径为始,透过全球化和科技革命的视角,分析挑战,提出创新对策。继而,书中探讨了实际操作中的破局立新,如何在多领域打破束缚,建立新机制。随着信息技术的发展,本书讨论了数智技术对社会影响的深远意义及其推动可持续发展的策略。最终,展望未来社会趋势,鼓励以开放、创新、进取的态度迎接挑战。本书不仅是理论报告,更是实践指南,旨在激励读者思考与行动,推动社会向更公正、智慧、可持续方向发展。在这个变革时代,每个人的选择都至关重要。让我们共同在改革道路上前行,勇敢探索,乘风破浪,共创美好未来。张健 南光(集团)有限公司 财务部兼资本运营部总经理序金融资源的管理与运用,是区分传统资金管理与司库管理的关键要素之一,随着金融市场的发展,金融产品不断丰富,金融资源管理呈现出宽泛化、市场化、动态化特征,数智司库建设加强了对金融市场风险的实时监测,建立了企业资金流动性的价值守护,是属于建设金融强国的底层风险防御的数智化创新手段。周道许 清华大学金融科技研究院金融安全研究中心主任要素市场化配置体制机制改革既是社会主义市场经济体制深化改革的重点内容,理所应当也应该成为企业集团司库体系创新升级和转型发展的努力方向。数智司库的建设将数智赋能、风险预控和精益运营等有机融合,充分发挥数据的价值洞察和风险诠释功能,赋能与保障协同、风险与收益统筹、“造血”与“挤血”兼顾、规划与考核衔接,有力推动了我国司库管理的转型升级和创新发展,有效提升了企业集团资金管理的效率和水平。王竹泉 中国海洋大学院长当今复杂的市场环境驱动下,先进企业的资金管理逐渐向资产负债管理及优化集团资源配置的方向发展,持续强化风险预警、经营分析及决策支持能力,以实现股东权益最大化的发展目标。面临发展过程中的各项机遇与挑战,企业亟需建立一套完整而先进的司库管理体系,促进存量资金高效运作、流量资金精益管理、增量资金集中管控。数智化司库则是可持续的必然趋势,数字化转型的过程中需以数据为核心,解锁数据价值,并借助人工智能、RPA及各种先进解决方案,最终实现管控风险、支持主业、降本增效、服务战略的管理愿景。孔令戟 普华永道中国财务管理咨询主管合伙人目录序 01引言 041.方向与发展趋势:政企双驱推动司库体系建设 1.1.监管政策革新与财务组织升级带来的新变化 51.2.组织“从单一型走向复合型”61.3.技术“从信息化走向数智化”71.4.业务“从财务支撑走向财资筹划”71.5.模式“从被动管控走向主动洞察”92.规划与创新场景:引领业务 高效运营 战略增值 2.1.司库管理的业务蓝图规划 112.2.数智司库创新应用新场景 122.2.1.AI 增强自动化的结算场景 132.2.2.AI 助理辅导驱动资金预测 142.2.3.闭环互馈精益的资金运营 152.2.4.业财融合穿透的资金管控 162.2.5.大模型赋能智能画像自动报告 172.2.6.数据模型驱使的交易流程调度 172.2.7.量化模型动态指导“两金”压降 182.2.8.适配数据资产价值的金融工具 192.2.9.基于区块链的供应链金融协同 200510扫码查收白皮书电子版3.顶层设计与应用主题:数智赋能 风险预控 精益运营3.1.用友 BIP 全球司库产品顶层设计 223.1.1.全球领先的数智化技术平台 223.1.2.用友 BIP 全球司库应用架构 233.2.用友 BIP 全球司库平台应用主题 243.2.1.精益化全球账户管理体系 243.2.2.智能安全的绿色结算平台 253.2.3.高效运作的票据管理服务 273.2.4.高效运营的资金集中管理 283.2.5.四流合一的资金预算管理 203.2.6.严格的债务融资统筹管理 303.2.7.精细化的借款与担保管理 313.2.8.业财融合的应收清收管理 323.2.9.期现合一的衍生品管理 333.2.10.境外资金可视与安全管理 343.2.11.数据资产运营的供应链金融管理 353.2.12.全过程预判式的风险管控服务 363.2.13.产融协同的司库运营分析 373.3.用友 BIP 全球司库 AI 增值服务 384.司库管理数智化领先实践 4.1.A 央企:数智司库数智融合支撑价值释放 394.2.B 央企:业司核报一体化司库深化业财融合 404.3.C 央企:端到端风险可视的司库管控平台 414.4.D 央企:自主可控的境内外一体化全球司库 434.5.E 国企:资债统管牵引财务数字化转型升级 445.监管评价与司库管理能力成熟度标准5.1.国资监管对司库体系建设的评价 455.2.司库管理体系能力成熟度模型 47 21394504全球司库 战略增值引言数字经济的发展不仅赋予生产要素、生产力和生产关系新的内涵和活力,也促进着各类产业主体优化生产布局、开展跨界合作、重构价值创造模式,和数字经济结合,是现有实体经济转型升级的方向。实现从传统资源要素驱动向数据要素、科技要素驱动转变,构建数字经济发展新生态,推动新质生产力加快发展。在数字经济发展新生态下,企业引入数智技术进行模式创新,引导产业向高质量生态圈发展,在“一带一路”和国内国外“双循环”的政策背景下,中国企业纷纷走上全球化之路,寻找新的发展机遇,企业会更全面、更深入地掌握各类金融资源,以产业协同视角整合内外部金融资源,实现全球资金的统筹,满足生产要素的最优配置;以数智化、生态化和全球化基因特征的司库体系建设成为了促进财务管理数字化转型升级的切入点和突破口,更能充分调用数字生态动能,激活数据要素潜能,驱动“传统”业务模式向“数字”生态模式转变。用友联合普华永道发布大型企业司库体系建设白皮书,紧扣数字经济下全球要素资源重组、全球经济结构重塑的时代脉搏,充分解读国资监管部门发布的一流财务体系建设的宏观指导政策,从体系化的角度设计司库发展主线,从数智化的角度强化数据标准应用和智能工具选用,从生态化的角度深化业财融合和产融结合,从价值化的角度深入财务洞察,揭示司库建设在企业高质量发展过程中的重要性和创新性,剖析领先企业在司库建设方面数智化应用的实践场景,总结司库平台的建设思路和最佳路径,期望以战略级司库体系建设为重要引擎,助力企业达到世界一流财务管理体系水平。方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准05数智化 生态化 全球化1方向与发展趋势:政企双驱推动司库体系建设财政部、国资委贯彻落实“十四五”规划和二三五年远景目标,应对严峻复杂的国际形势和接踵而至的巨大风险挑战,采取一系列战略性举措,推进一系列变革性实践。完整、准确、全面贯彻新发展理念,推动数字化技术与企业的业务、管理、决策等方面融合,深入挖掘数据价值,提升数据洞察能力,为企业的决策提供有力支持,实现数字化与业务发展的相互促进,提升企业在数字经济时代的竞争力和创新能力。财务数字化转型在企业整体数字化转型中具有重要的作用,而资金管理则是财务管理中最为直接和核心的部分,它涉及企业资金的筹集、调度、使用和监控,直接关系到企业的资金安全和运营效益。司库体系建设是企业实现财务数字化转型和资金管理现代化的重要手段,是企业实现战略转型和高质量发展的关键支撑,也是企业应对复杂多变全球经济环境和风险挑战的重要保障。司库承担着组织中的领导和战略引导作用,越来越多的企业以司库建设为抓手,加快推进自身财务数智化转型。1.1.监管政策革新与财务组织升级带来的新变化在当今复杂多变的全球环境下,企业面临着前所未有的风险与不确定性。为了应对这些挑战,越来越多的企业在司库管理的投入愈加重视,财务工作者深入到企业经营活动,进行产融供应模式的变革,司库职能由注重管资金向注重管资源、管资本转变。国家从政策层面出发,为企业财务管理指明了方向,国资委自 2022 年的系列发文加快司库体系建设,这些政策特别强调了数字化、智能化在财务管理中的重要性,鼓励企业利用前沿数字技术推广应用,加快司库体系建设,不断优化司库管理机制,实现司库管理的精细化、集约化和智能化,提升财务管理水平。政策同时强调司库体系作为现代企业治理机制的组成部分,不应仅作为单项的资金管理过程,而是以平台为基础,数智技术加持,专注于企业资金与信息,服务于战略、业务及价值创造,对金融资源进行统筹及调配的过程。普华永道全球司库对标分析研究(Global Treasury Benchmarking Survey)显示,司库职能越来越多地转变成为公司决策层的战略顾问角色,更多地关注于价值提升活动,而非传统上的营运资本管理和并购支持等业务,具体还包括:精通技术的司库团队正在利用数字化手段开展工作。人工智能、机器人自动化流程和数据分析等技术正广泛利用以用于执行关键任务,做出决策和降低风险。06全球司库 战略增值司库管理的范围持续扩大。85%的受访者将司库描述为一个“价值提升服务中心”,且这一比例高于以往。司库人员需要重新定义现有的角色,并在未来创建新劳动力时将数字化作为核心。战略思维(99%)、业务合作(84%)和技术亲和力(73%)被认为是未来司库管理及其人员所具备的关键技能。司库团队正在寻找新的方法来解决长期存在的旧有问题。虽然司库管理的授权范围可能在扩大,但现金流预测作为其首要议程,数十年来从未改变。许多人仍然低估了网络风险。网络安全意识正在增强,但只有 28%的人认为网络安全是一个“关键问题”。在防御网络攻击和制定恢复计划方面,司库管理人员们依然保持中立态度。但随着新技术的发展,这些问题正日益凸显。结合企业对司库职能所期望的转变,与企业司库体系建设的实践经验来看,财务管理变革有三大演变特征。一是从单一型角色走向复合型角色,打造专业的司库运营组织,开展更高阶的资金、资源、资本的统筹运作。二是从信息化走向数智化,通过新技术的应用,充分挖掘数据资源价值,建立自动化规则和算法模型、从依赖人工决策到模型决策,提高运营的自动化率和决策效率。三是从财资支撑走向金融筹划,更注重现金流预测的信息,由存量资金变为主动,统筹全球金融资源配置;实时监测金融市场行情,保障资金效益的更高价值创造。四是从被动管控走向主动洞察,更注重强化营运资金、流动性、资本结构、利率汇率风险和融资的管控,由被动变为主动,以数据为核心,智能为辅导,精益开展投融资管理、风险量化、资源调度保障更高的价值创造。1.2.组织“从单一型走向复合型”打造司库管理专业组织,成为未来管理趋势团整体“存贷双高”的问题、缓解企业外部投融资约束、破除资金管理系统信息孤岛等方面起到了非常积极的作用,但是财务公司对于集团整体资金管理的组织设计、人力资源配置、绩效评价等管理职能方面,要站在集团战略层面协同解决问题还存在诸多困难。企业迫切地需要单独设立司库组织、强化顶层设计、建设人才队伍、明确发展路径将成为趋势,在组织人才方面,司库的人才一定是“综合化”和“数字化”的,司库的专业组织需要懂得业务、熟知技术、善于财务、了解金融的复合型人才,这样企业才能够将司库职能向战略和风险管控转变,这种先进的司库组织结构体系能够为企业战略服务带来更大的价值。组织架构建设是企业司库体系建设的基本保障,组织体系的不断完善有利于协调司库组织架构中的内部关系,以及司库管理目标的落地。国资委发布的“1 号文”中指出,集团财务部门负责制定司库管理战略和政策统筹协调司库管理工作并开展监督考核;财务公司、资金中心等管理平台要发挥资金归集、资金结算、资金监控和金融服务等作用;子企业负责资金等金融资源的具体运作。20242025 年,企业会将目标锁定在财务部、财务公司和资金部作为司库管理组织,其中将财务部或单独的司库部门作为司库管理组织将成为主流,司库比财务公司更有利于发挥协同管理与战略性的资源配置功能。从我国财务公司实际运作模式和效果来看,财务公司对于解决集本报告中的信息仅供一般参考之用,既不可视为详尽的说明也不构成由普华永道提供的法律、税务或其他专业建议。在有所举措前,请确保向您的普华永道客户服务团队或其他顾问获取针对您具体情况的专业意见。本报告中的内容是根据当日可获得的资料于 2024.4 编制而成的。方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准07数智化 生态化 全球化1.3.技术“从信息化走向数智化”1.4.业务“从财务支撑走向财资筹划”智能技术的深度应用,成为司库升级的“助推器”大数据和人工智能在司库领域应用中呈现数智化变革升级,司库管理业务将通过云计算、人工智能、机器学习、大数据等数智化技术实现数字化、智能化管理。司库团队只有具备了数据处理能力、科技平台运用能力等,才能在创新和战略思维的引导下,将司库、金融等专业知识储备在日常司库经营的数字化工作中发挥出巨大功效。面向未来,司库要不断走向数字化、网络化、智能化。企业希望通过算法从数据中提取关系和规则,从数据模式和以往经验中学习,扩展至由机器辅助完成相关工作,从而推动企业司库的智能化进程。经过市场调查显示,企业希望将人工智能、机器学习运用于持续提升回单自动认领和匹配的比例超过 70%,成为智能技术在司库管理中的第一大使用场景。同时,人工智能、机器学习还将在司库 RPA 流程自动化、到账通知认领规则沉淀、OCR 合同识别、文件准确度识别、智能 VPA 助手、风险识别等业务中深度应用。更加重视现金流预测和金融产品,加强企业资源配置受全球政治局势的影响和后疫情时代的到来,未来企业司库管理的升级对业务提出了更高的要求。企业CFO将现金流的预测和金融产品组合应用作为首要任务,根据市场调查,企业三年内对现金流预测的诉求急速上涨,从 18.04%上升到 38.46%,企业未来会更加重视现金流预测,避免由于现金流断裂而带来的破产风险和高融资成本。现金流预测可以提高企业决策水平,优化筹资结构构建司库决策分析,提升司库战略价值大数据和人工智能在司库领域应用中呈现数智化变革升级,司库管理业务将通过云计算、人工智能、机器学习、大数据等数智化技术实现数字化、智能化管理。司库团队只有具备了数据处理能力、科技平台运用能力等,才能在创新和战略思维的引导下,将司库、金融等专业知识储备在日常司库经营的数字化工作中发挥出巨大功效。面向未来,司库要不断走向数字化、网络化、智能化。企业希望通过算法从数据中提取关系和规则,从数据模式和以往经验中学习,扩展至由机器辅助完成相关工作,从而推动企业司库的智能化进程。经过市场调查显示,企业希望将人工智能、机器学习运用于持续提升回单自动认领和匹配的比例超过 70%,成为智能技术在司库管理中的第一大使用场景。同时,人工智能、机器学习还将在司库 RPA 流程自动化、到账通知认领规则沉淀、OCR 合同识别、文件准确度识别、智能 VPA 助手、风险识别等业务中深度应用。并明确投资方向。企业希望通过提前确定的现金流入和流出的时间、数额和地点,结合大数据及模型算法等技术手段提高现金和流动性头寸的可见性,从而确定未来融资的需求和流动性资金的使用量,结合金融机构提供的各类金融产品,进行金融产品组合,做好金融资源配置,能够降低资金成本并提高盈余资金的收益,这也对企业司库信息化建设中金融产品系统能够随时定义市场出现的新品种,实时创新金融工具产品如:投资、融资、货币市场、远期、掉期、期权、期货等司库金融品种提出了更高的要求,司库可以借助专业的力量更好地加强企业金融资源配置。08全球司库 战略增值从司库基础建设转向智慧风控,全面升级司库“护城河”从 2022 年 1 月国务院国资委发布“1 号文”,到2023年10月国务院国资委发布“严禁虚假贸易的通知”,各央企以及大型民企集团防范资金风险已经成为司库管理的重中之重,企业需要从资金舞弊及合规风险、流动性风险、金融市场风险、信用风险以及虚假贸易和民企挂靠风险管理等多方面建立司库的“护城河”。从近两年企业司库建设趋势调查显示,大型央企、国企在司库基础业务建设上已经逐步成熟并初见成效,未来大部分企业司库建设的重心将转向以智慧监督风险管理为建设中心,通过信息化的手段形成体系化的风险管理。在资金舞弊和合规风险方面,集团司库能够根据企业各板块特点、企业发展情况、企业规模大小定义不同风险监控模型和指标,对下属企业在司库业务开展过程中实时进行风险监控和拦截。在市场风险方面,企业所关注的利率风险和汇率风险可以通过数字化手段连接外部社会化市场数据,通过最新的市场价格以及外汇敞口,科学形成对冲方案,规避市场风险。企业通过建立事前、事中和事后的体系化风险并融入智能 AI,将风险管理制度通过信息化建设落地,实现可量化和智能化的风控,提升风险预判和预警能力。应对全球市场变化趋势,统筹管控境内外金融资源随着我国持续提高对外开放水平,许多企业加快了国际业务布局,国务院国资委要求中央企业在司库体系中纳入对境外资金的管理,推动境内外、本外币一体化,将金融资源配置和调度的范围扩展至全球,不同于境内资金的统筹管理,境外资金需要考虑更多的复杂因素,例如时差、监管、清算以及文化差异等,这就要求跨国公司对于建立起一整套支持多币种、多时区、多语言、一体化的全球司库体系成为趋势和必然。目前,有 33.68%的企业对于全球化整体司库运营和规划存在很大的诉求,企业在全球资金的“可视”上希望更多的业务类型能够接入全球化金融通道,不再拘泥于账户余额和支付结算的连接,业务范围逐步扩大到结售汇业务、融资业务、衍生品业务和票证等业务,在提高资金可视度的同时,可以大幅度提高资金周转效率;在全球资金的“可控”上,主要趋势在资金预算对业务规模的可控,通过信息化的手段建立体系化的资金专项预算,有效管控投融资规模、衍生品规模以及担保规模等,不仅可以提高资金管理效率,同时也保证了日常生产经营活动的有序进行;在全球资金的“可配”上,主要体现在全球资金的集中,通过区域集中以及跨境集中,企业需要结合外汇管制要求在全球范围内设立合适的境内及境外结算中心,从而统筹境内外金融资源合理进行配置,进一步创造金融价值。未来业财更加深度融合,驱动企业价值再造据市场调研显示,近 70%的企业在数据管理实践中的首要工作便是打通业财数据。企业在贯通业财流程与数据,解决数据时效性不足、业财数据不畅通、业务嵌入不够、虚假贸易等风险无法穿透监测等问题,迫切地需要建立业财税资档一体化的信息化系统,这也将是企业司库管理创新的主要动作。企业希望通过业财深度融合将流程打通,从“采购到付款”和“销售到收款”,能够快速准确地进行信息流转、消除信息壁垒、提升内部控制透明度、提高信息的流通和共享速度,大幅度提高企业的经营效率,避免过程中的资金舞弊及篡改等相关风险;通过业财深度融合将经营活动中积累的大量数据进行沉淀,建立数据中台对数据进行加工和清理,实现多维度的数据分析和数据钻取,从而满足企业中高层决策的需要;业财深度融合能够更易于司库进行应收应付账款清缴、资金预算管控、资金预测等方面的业务开展。业财税资档的业务融合可以推动司库人员走出财务部门,走进业务部门,基于自身掌握的司库数据与专业分析能力,为管理层与业务部门提供分析和决策支持。方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准09数智化 生态化 全球化1.5.模式“从被动管控走向主动洞察”随着企业规模的不断壮大和金融市场的日益复杂,司库管理已逐渐成为企业财务管理的核心环节,司库已经成为企业业务运作的合作伙伴,专注于资本市场、风险管理、内外部银行关系管理;以价值链视角整合和运作资金及金融资源,构建产业链协同,重组整合,产融结合深入发展。司库管理也呈现出多种模式并存的格局,其中司库中心模式逐渐崭露头角,成为主流趋势。司库中心模式的兴起,不仅满足了企业不同发展阶段的需求,更展现了其独特的优势和魅力。通过建立专门的司库中心,企业能够实现主动对现金、票据、证券等金融资产的集中管理,以及资金调度、风险管理等金融活动的统一规划。这种模式不仅提高了资金的使用效率,更增强了企业的风险控制能力,为企业的稳健发展提供了有力保障。同时,司库中心模式还促进了共享型财务、司库型财务和战略型财务的深度融合。共享型财务通过集中处理日常财务事务,提高了工作效率和准确性;司库型财务以专业化的金融服务为企业提供全面深入的支持;战略型财务则站在企业长远发展的高度,为企业的战略决策提供财务支持和建议。这三种财务模式的融合,共同构建了世界一流财务管理体系,为企业的持续发展注入了强大动力。此外,司库中心模式还显著增强了总部的集中统筹力。通过集中管理金融资源,总部能够全面掌握企业的财务状况和风险情况,从而做出更加科学、合理的决策。总部还能够通过司库中心对各分支机构的金融活动进行统一协调和管理,确保企业整体资金运作的高效性和风险控制的有效性。综上所述,司库中心模式不仅有利于企业主动经营利用好金融资源、提高资金使用效率和风险控制能力,更促进了共享型财务、司库型财务和战略型财务的深度融合,助力构建世界一流财务管理体系。随着司库中心模式的不断发展,我们相信司库管理将迎来更加集中、专业化和高效化的未来。随着数字化和智能化技术的应用,全球司库体系建设带来全新管理模式和工作流程正在引领一场变革。从分散到集中,从粗放到精细,从被动管控到主动洞察,从数字化到智能化,从流程挖掘与模式优化,司库管理与企业战略的深度融合,重塑财务管理模式,影响企业的运营模式。10全球司库 战略增值数智化财务大平台万物互联的数据池专业运作金融资源专业级司库集中统一金融资源资金集中协同结算资金结算金融衍生品信用评级辅助决策流动性管理风险管理金融市场交易供应链金融内部运作担保管理授信管理融资管理应收应付投资管理资金预算账户管理财资级司库战略统筹金融资源战略级司库2规划与创新场景:引领业务 高效运营 战略增值司库体系从传统的内部资金转向更广泛的金融资源,从依赖经验向信赖数据洞察的决策方式转变,通过数智融合视角下更全面、更深入地掌握各类金融资源,实现全球资金的统筹,助力企业实现生产要素的最优配置;充分使用大数据、人工智能等新技术,激活数据要素潜能,实现资金服务流程线上线下一体高效协同,驱动“传统”业务模式向“数字”生态模式转变,基于更精准的资金收益的预测和评估,引导企业采用更高效的生产力去经营,引领业务朝着更精益更高质量的创新发展。企业集团的司库体系及其有效运转,提高了资金使用效率,降低了资金成本、控制了资金风险、拓宽了投融资渠道,促进了企业集团发展战略的实现,企业在不同阶段对司库的职能要求和管理内容也会有所不同,而由于金融资源的虚拟性,使得数字时代下更多企业将司库的管理边界拓展到对企业产业链、生态链的金融资源的集中、配置、使用和监管,并充分引入数字新技术更智能,更科学地发挥司库职能。图 1 司库体系建设的分层方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准11数智化 生态化 全球化图 2 司库管理业务蓝图规划2.1.司库管理的业务蓝图规划通过创新驱动来发现和挖掘新质生产力是高质量发展的重要路径,借助数智化新技术的力量,企业内部需求侧积累了更为颗粒化的生产要素,企业外部供给侧也释放了更为灵动化的金融资源,以万物互联的数据池为融通源头,实现内外循环体系下规则共享、标准共享、资源共享、能力共享的数字生态,促进数据流、资金流与资本流的融会贯通,并在卓越司库运营机制下的驱动金融资源与产业生产要素更加紧密地结合,司库运营能力的重塑构建也势必成为财务数智化转型的关键切入点,为推动企业向前发展注入强大动力。卓越的司库运营能力的构建作为财务数智化转型的突破口,要基于财务数智化平台底座形成数据引擎的新动力,要有更广泛的资金资源统筹提高资金调度效率,要有更绿色的智慧结算交易服务保障安全高效的交易,要有更多元的金融工具催生经营链与产业链的融合价值,要有更智能的风险管控激活数据要素潜能。战略级司库体系将通过数智融合视角下更全面、更深入地掌握各类金融资源,实现全球资金的统筹,助力企业实现生产要素的最优配置;充分应用数字化技术,激活数据要素潜能,实现资金服务流程线上线下一体高效协同,将业财税资档高度集成,实现业财融合向业财一体的升华,深度挖掘数据价值,增强经营活动分析的前瞻性、准确性,提高战略决策支持的深度,以产业协同视角整合内外部金融资源,打造可视、可动、可控、可溯的全球司库运营体系。全球账户资金池风险防控 金融生态绿色结算 资源统筹数智司库对外连接“企-税-银”税企互联政企互联银企互联企企互联对内贯通“业-财-税”业务活动价值反映多维精益管理负债资产成本费用利润收入融资合同供应商票据组织员工客户项目账户产品设备还本付息单付款申请单结算单收款单销售订单维修工单融资渠道融资品种融资期限业务事项业务活动票据类型客户类型成本类型数据流数据价值资金流动资本流通资金流资本流投资资产设备项目数据流数据流财务共享税务核算成本费控全面预算数据引擎数据引擎人力销售采购设备销售项目投资财务战略人资公司经营全过程数据连接企业级数据平台司库中台财务中台数据规则服务标准大数据分析模型一体化数据模型12全球司库 战略增值2.2.数智司库创新应用新场景人工智能技术的快速发展迭代,使得“人工智能 ”势在必行,也给很多正在进行数字化转型的企业带来更多的思考,如何利用 AI 技术赋能企业的运营管理,甚至是商业模式变革将会为企业数字化转型带来更大的机遇,领先企业着力构建数据驱动、智能协同、跨界融合、共创分享的智能经济形态,加速企业经营的数字化转型升级。在这场数字化转型浪潮中,数字化和智能化技术的应用场景层出不穷,司库作为企业数字化变革的切入点和突破口,也形成了全新的管理模式和创新场景。从分散到集中,从粗放到精细,从人工流程到自动流程,从人工决策到智能辅助科学决策,数智化应用推进着数据深度挖掘、积累、整合与优化,司库管理与企业战略的深度融合,重塑资金管理模式,革新企业在数字化时代的数智司库运营模式。利用大数据、移动互联网、云计算、区块链等新技术与企业运营管理深度融合,将业务经营信息、财务信息转化为数据,以数据要素、科技要素作为生产要素,通过人机协同新流程,持续挖掘新价值、加快形成新质生产力,促进经营管理的数智化进阶。从自动采集信息、自动甄别风险、自动审核审批、自动收付结算、自动策略修订等新型智能场景深化和普及形成了一系列面向数字时代的司库运营的新场景。在拓展战略级司库的创新运用场景上面,普华通过洞察市场方向,认为有以下场景作为司库未来拓展处理的新场景:智能现金流管理:利用 AI 和机器学习技术,司库可以实时监控和预测现金流状况,自动调整资金分配和流动性管理策略。智能系统能够分析市场动态和内部交易数据,预测未来现金流入和流出,帮助企业优化现金储备和短期融资需求。自动化支付处理:通过 RPA 技术,司库可以实现支付流程的自动化,减少人工操作错误和提高处理速度。例如,自动化支付确认、供应商验证和银行对账等流程,确保支付的准确性和时效性。风险预测与对冲策略:AI 可以分析历史数据和市场趋势,预测汇率和利率变动,为司库提供风险评估和对冲策略建议。通过自动化工具,司库可以快速执行对冲交易,降低财务风险。供应链金融服务:结合区块链和 AI 技术,司库可以提供供应链金融服务,如供应链融资和应收账款管理。通过智能合约,自动执行交易条件,提高供应链的透明度和效率。虚拟账户管理:利用云技术和 APIs,司库可以创建虚拟账户,实现资金的集中管理和实时监控。这有助于企业更好地控制全球资金流动,优化税务规划和合规性。数据驱动的决策支持:通过大数据分析和可视化工具,司库可以为管理层提供数据驱动的洞察和决策支持。例如,通过分析现金流、营运资本和财务报告,帮助企业制定更有效的战略规划。网络安全和反欺诈:AI 和机器学习技术可以用于监测和分析异常交易行为,及时发现和预防支付欺诈。通过持续学习和模式识别,AI 系统能够提高网络安全防护能力。个性化银行关系管理:利用 AI 分析银行服务的使用情况和费用,司库可以与银行协商更有利的服务条款和费用结构。同时,AI 可以帮助评估银行服务的质量和性能,优化银行合作伙伴关系。在这些创新场景中司库充分运用先进技术来提升效率、降低风险、优化资金管理,并为企业的战略决策提供支持。随着技术的不断进步,司库的创新应用将更加广泛和深入,为企业带来更多价值。方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准13数智化 生态化 全球化风险阙值账户余额资金计划交易数据U-key数据风险特征数据用户权限银行账户审批客商业务单据数据数据中台 智能中台集成校验规则银行集成规则指令控制规则流程控制规则结算控制规则规则中心自动流程识别自动规则抽取自动生单付款单据结算方式付款审批付款指令流水回单自动采集发送指令自动审批自动结算自动流程AI 增强自动化的结算场景在自动化领域,RPA 与新爆发的生成式 AI 都是强大的技术,都可以用来实现自动执行重复耗时的任务。但是,传统 RPA 擅长处理结构化与规则明确简单的流程,而在非结构化数据处理、动态上下文适应、智能决策等能力上有欠缺;而基生成式 AI 则具备了强大的自然语言理解与推理能力。因此如果将两者融合,则可以实现更加智能化、更具适应能力、更高效的自动化流程方案,更好地应对复杂的任务场景与数据,拓展 RPA 自动化的边界,实现增强的 RPA 机器人。增强 RPA 机器人应用到资金结算作业过程中,对全量收付款单据的集中处理,支持多种结算方式,如银行转账、商业汇票等,并通过银企联通道实现直连支付。并将智能分类、退票监测、交易查重、自动关联业务单据和银行流水等关键信息形成统一的规则组件,通过生成式 AI 的引入,支持智能规则实现自动化结算,提高审批效率和风险控制能力,并对资金结算监控执行统计,自动识别可转化的自动规则,形成自动标准,并在单据、凭证、回单处理作业上进行自动化与标准化的智能结合,提高资金交易结算的效率。精准高效的智能审核机制、智能匹配发票功能、智能识别重复支付疑点、智能执行支付指令以及自动生成标准化单据等。这些先进技术的应用,减轻了司库人员的工作负担,显著提升了整体工作效率,推进财务管理体系将朝着“无人值守”的智慧出纳模式演进。图 3 增强 RPA 自动化流程应用结算作业14全球司库 战略增值AI 助理辅导驱动资金预测在保障资金安全与防控资金风险前提下,集团企业需要借助资金预测模型进行科学预测,精细化衡量资金投入的效果,提高运作效率,加强更科学的风控管理机制,为集团提供合理的投资方向提供辅助决策,合理地安排资金,将可用资金赋能主业或归还高息贷款、定期理财方向,最大空间地提升集团收益率,以支撑集团战略,赋能主业。更多全天候实时的经营财务数据的积累,更丰富的资金运营场景化经验的沉淀,给予了 AI 大模型充分的数据要素营养,基于数学规律和趋势的模拟运行进行资金预测已经是一场科技与智慧的较量。利用统计学和机器学习技术,构建一个能够预知企业未来资金流动性状况的预测模型,并通过预置的 AI 资金助理引导资金人员进行科学的资金调配,是数智化技术应用在司库管理过程中的典型场景。以大模型可持续提升的智能助手,引导用户更熟练地应用多维度内外部大数据为基础构建的资金预测模型,其结合历史经营数据和未来计划数据进行多维计算,直观地勾画出战略级全球司库体系中的资金曲线,而智能 AI 也将为企业资金管理者进行司库运营决策时提供科学性的辅导建议。图 4 AI 助理辅导驱动的资金预测月度最佳资金参考资金缺口分析融资决策建议成本效益说明最佳资金存量构建丰富的AI场景话术激活多维的数据要素价值模拟、预测调优、重组智能化预测场景化呈现经常性支出连续高峰支付差额不可动用资金 回归法 收支差额法 蒙地卡罗模拟法 最大最小值法 BAT模型 米勒奥尔模型 因素分析法 历史数据演算 最佳持有量分析 当前资金状况如何?最近资金缺口窗口?请用因素分析法进 行资金预测?经营计划智能中台数据中台资金计划收款池付款池预测数学模型融资池投资池资金预测曲线资金配置建议方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准15数智化 生态化 全球化闭环互馈精益的资金运营从现金视角下负责统收统支、资金归集的资金集中管理中心,从财务视角下负责内部资金融通的财务公司,从金融视角下提供金融服务、风险管理的集团内类金融机构,到经济视角下统筹资源优化配置的战略机构,司库体系作为企业集团资金管理的组织,逐渐发展为内部资本市场的平台。卓越的司库运营能力需要将体系优化升阶至经济视角,并从经济视角来看待更广泛链接的资产资源、资本资源实现广义流动的资金资源的调度统筹,善于将一切资源转化为资本,让资本充分流动、渗透和撬动资本要素,实现以实体为中心要素的市场化循环生产的数字生态模式。在数字生态模式下企业日常的经营活动都通过业务标准化的过程体现到 IT 系统内,通过管理对象、数据载体与业务标签等量化为各类数据信息,依托企企互联、银企互联、政企互通的连接渠道实现内外循环流转,在赋予新内涵的财务数据生态需要财务面向多维精益化的管理变革,实现更丰富的资源,更精益的管理,更广泛的连接,更共享的机制,更协同的运营满足智能化资金运营能力的构建。依托全数字化的智慧资金运营平台,在数据互联中实现对企业经营活动现金流的收支池的多维精益管理,在流程互通中实现对企业投融资现金流的协同管控,通过收入池、支出池与融资池、投资池的循环联动实现池化资金统筹调度高效运营。图 5 闭环互馈精益的资金池调度滚动资金计划收支平衡支付精细排程收入精益化业财智能对账投资资金池付款结算与计划业务支出计划业务收入计划金融资源多样资金池现金I票据I外汇I函/证I账户 I数字人民币等付款池收款结算与计划收款池年、月、周、日头寸投资评估模型融资资金池融资比选模型盈余缺口多源数据在线获取多源数据业财合一业财税系统银企联财企联政企互联企业征信I风险利率I汇率I大宗商品价格等业务数据标准化企企互联电子客票电子行程单数据载体系统管理对象业务标签银企联操作性风险合规性舞弊风险流动性风险金融市场风险智慧资金运营更丰富的资源更精益的管理更广泛的连接更共享的机制更协同的运营资金风险监控管理企业经营分析预测16全球司库 战略增值业财融合穿透的资金管控数字经济的发展,极大丰富了企业生产运作过程中的在线数据;在国家推动“数字中国”宏观规划下,政府、金融机构、法院、税务、企业等各方都在打破壁垒,推动数字信用体系的集成应用建设,内部经营数据与外部社会化数据的边界正在逐步消融。数据量的提升、数据时效性的加强、数据来源复杂化、数据维度多元化、数据共享化,促使资金管控向企业经营全场景渗透。数据驱动的过程实际上也是数据流动的过程。通过数据产生、数据治理、数据处理、数据应用、数据反馈的闭环促进着资金预算制定、资金计划管控的数字化转型。企业各种业务数据分散在不同的信息系统中,企业以连接为基础,统一企业数据规则,明确数据归属,基于互联网,将企业内部各个部门、企业与企业之间、企业与管理机构之间实现数据共享,推动企业数据融合,建立一套企业统一、公认的数据用于企业资金预算编制、分析、考核、评价等经营分析和决策活动。随着事项会计的逐步普及与应用,企业财务数据进入了实时、客观、全面的信息披露模式,会计数据服务特性正走向精细、实时、智能,更精细的资金管控需要结合更多维、更深层的业务数据与核算标准来进行资金计划实时有效的管控,通过从业务系统中获得经营数据和收支数据,结合财务数据中的收益、支出、预算、资产负债率、流动性等方面的数据,全面整合和分析,从而制定全面的详细资金计划,以实现资金的有效使用和风险的控制;同时,持续监测资金的流转,确保资金的使用符合公司的规定和政策。构建多维度资金计划控制模型,自动获取业务数据实现资金计划编制、汇总、执行控制的自动化管理,实现企业开展资金年度专项预算、月度资金计划、周计划、日排程多维精细闭环管理,严控计划外支出,做到“有预算不超支,无预算不开支”,有效管理资金头寸平衡资金,提升资金使用效率。图 6 业务融合穿透的资金管控资金计划要素月计划资金计划资金结算银企直联会计核算金融机构事项会计中台资金预测专项预算周平衡日排程预测指标带息负债债券融资内部借款银行授信担保预算付款审核下达生效编制汇总回单认领收款支付指令认领事项事项会计对应会计核算分录核算凭证核算报表预测模型最佳存量资金预测风险预警业务计划要素物资采购服务采购薪酬福利股权投资融资业务资金运作费用报销 计划主体 计划科目 计划需求日期 计划金额 合同/项目 收付类型 .公司主体 业务类型 业务事项 业务计划日期 业务需求金额 合同/项目 .支出业务业资衔接销售收入收入退款税费退回政策补贴收入业务销售管理采购管理生产管理库存管理报销管理财资管理投资管理业务系统资金计划全过程管控正式凭证回传认领事项支付流水电子回单支付指令现金流控制年度专项额度控制(业务流)认领核销明细资金计划凭证分录资金预算储备池资金收款数据资金付款数据资金计划业务计划业资衔接业务端资金场景业财融合司库运营智能会计管管效效效标标方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准17数智化 生态化 全球化大模型赋能智能画像自动报告数据标签是数据经过治理标准化后的规模复用,在数字化时代扮演着至关重要的角色,它不仅提高了数据的可读性和可理解性,还促进了数据的有效利用和价值提升;利用数据标签技术的发展和应用场景的拓展,司库体系中也需要提供基于标签为基础而产生的数据服务,并形成针对各类交易对象、交易载体的画像,既包含交易对象、交易载体的基本情况的概貌画像,也有包含交易关系形成过程中的信用积累分层分级的信用画像。司库应用深化应用过程中,需要从资金后端到业务前端的全流程分析模型,对合作伙伴、子企业、专项业务、项目等进行智能画像,辅助生成管理报告,为企业重大经营活动、发展战略提供决策支持。基于数据中台和智能中台的融合下产生的大模型服务,将充分提升画像的准确性、降低画像的成本和提高画像的实时性,大模型可以利用大规模的数据,通过复杂的算法,学习和挖掘用户的深层次的特征和需求,提高画像的质量和覆盖度;利用深度学习的技术,通过自动化的过程,构建和更新标签画像,减少人工的干预和成本,提高画像的效率和规模;利用实时的数据,通过动态的方式,调整和优化标签画像,增加标签画像的灵活性和时效性,提高标签画像的敏感度和响应度。图 7 大模型辅导智能画像与自动报告风险阙值账户余额资金计划交易数据U-key数据风险特征数据用户权限银行账户审批客商业务单据数据数据中台 智能中台金融机构画像E供应商画像C自动报告A项目画像F产品画像D客户画像B海量数据算法化 实时数据动态化深度学习自动化FEDCBA数据模型驱使的交易流程调度司库作为推动企业数字化转型建设中,强化了企业的内部数据整合,内部数据整合不仅限于打通各个业务系统中的交易对手数据、交易数据以及沉淀下来表现业务经济价值的收益数据,并在数字化信息系统中的移动端、PC 端等设置数据埋点,取得全过程交易行为数据,沉淀管理标签、风险偏好,形成交易数据聚合,满足对交易过程中各类风险甄别分类的场景化模型,通过模型驱使的分层分类风险策略来调度交易流程的适配与流转。司库运营过程中利用资金交易中沉淀的专家经验,形成从交易准入、交易审查、交易限额、合同签署、审查审批、发货付款到交易评价的全过程、全周期的风险管理模型,依靠多元聚合的交易数据,搭建多维度风控模型,甄别低风险交易特征,中风险交易形态,高风险交易指标等流程策略因子,推动交易流程从人工流程到全自动流程的高效转变,以科技要素促进企业经营交易流程的科学化的优化与变革。18全球司库 战略增值量化模型动态指导“两金”压降应收账款和存货是企业的重要流动资产,既是构成资产负债表的主要项目,也是资金占用的最大组成部分,提高资金流动性,需要有效盘活资产,减少存货、应收款项“两金”占压,提高企业资产质量,统筹运用市场、信用、法制手段,进一步盘活资产,回笼资金、提高流动性,防范债务风险,提高资产运营效率。司库管理中建立以应收管理为线索的量化多维分析模型,量化记录“两金”占流动资产比率,应收帐款周转率,指导逾期应收款项的清欠策略,严控账款规模,加快存货周转,严控存货规模。图 8 数据模型驱使交易流程调度图 9 量化模型指导两金压降交易对手信用交易合同规模利润率分类成本标签账期标签损失概率产品分类风险等级交易分析收益分析多维数据标签交易数据聚合准入模型信用评分模型虚假贸易模型挂靠识别模型根据风险分层确定流程策略半自动流程全自动流程人工流程交易准入客商信息交易审查交易申请交易限额签订合同合同签署发货申请审查审批到期收/付款发货付款交易流水交易评价利润评价股权关系检查担保检查历史交易检查预支交易检查物流追踪收/付款检查红冲检查收益异常检查自动筛选自动审核自动审批自动收付款自动结算自动生成凭证客户主数据关联数据聚合合同I订单交易过程业务节点风险管控出货单据客商管理信用风险检查合同风险检查动态追踪收款处理风险处理发票信息销售收入销售成本产品收入采购成本凭证信息收款单银行流水客户分析综合收入综合成本数据载体图示:管理对象服务收入服务成本缴费方式信用等级缴费习惯风险等级行为分析多维信息反映客户信息聚合产品分析业务类型客商类型产品类型合同类型项目类型金融机构票据类型业务标签结算方式产品类型业财互通互联,规范业务载体,数据共享融合客户开发争取订单签订合同按时发货收款认领到期收款欠款追收事前预防事后管理事中控制 信用风险模型 黑白名单机制 预算控制规则 资金计划控制规则 清收自动规则 票据风控规则 催收预警模型 账龄分析模型规则检查方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准19数智化 生态化 全球化适配数据资产价值的金融工具企业持续经营发展过程中一定会面向未来更多元化的业务场景进行互动融合,实现从资金流、业务流、数据流的深度融合共享,在企业生产、营销、投资和控制环节中,用更为精准的方式来配置生产要素资源,利用产融协同推动创新发展,以实现多元化的价值创造与保护。利用数智化的优势精准拓展产业生态圈,进而优化企业可持续发展的产业布局,司库管理通过优化要素激活现值构建的生态金融模式,从企业效能赋能到产业链价值提升,从内部统一资金调配向内外结合的生态金融统筹转变,从业务创新到战略引领、前瞻性的目标实现。结合金融估值理论的新要素、新公式、新资讯对企业经营活动中的各类实物资产、数据资产及债权资产等定期估值测算,准确掌控企业的动态市值状况,形成数字生态下企业价值自主感知新能力。利用通用金融产品中积累的产品要素、业务规则与适用场景等组件,构造司库体系内金融产品工厂,对外部金融工具进行统一的产品化管理,满足企业投融资过程中高效高质的融资、债券、租赁、保函、保理、股权投资、基金投资、外汇衍生品等系列化金融服务工具的使用。战略级司库的体系需要深入盘活数字时代下企业的各类实体资产和数据资产,打通企业可融金融要素到金融机构的金融产品直通式联动,通过对资产实现更为精准的估值计算,依托更灵活的担保组合方式获取更高性价比更有针对性地融资产品,实现对企业多样化融资模式的创新拓展。图 10 激活数据资产价值的金融服务企业级数据平台数据资产池智慧司库生态金融司库中台财务中台数据规则服务标准授信担保业务流贷 I 固贷 I 债券 I 票据 I 信用证 I 保函供应链金融保理 I 应收账款 I 存货金融投资业务股票 I 债券 I 基金 I 大宗商品其它金融工具衍生品 I ABS I MBS I ABN I PPN激活多样性的金融服务工具债务应急缓释数据增值资产应需流动担保增信金融工具适配VS融资估值测算产业链金融要素产业内生产资源现值激活要素盘点负债资产成本费用利润收入融资合同供应商票据组织员工客户项目账户产品设备还本付息单付款申请单结算单收款单销售订单维修工单融资渠道融资品种融资期限业务事项业务活动票据类型客户类型成本类型债权资产池实物资产池20全球司库 战略增值金融机构投资商客户核心企业供应商基于区块链技术打造的供应链金融服务平台智能合约电子货币电子存证电子签章时间印鉴智能撮合风控服务金融服务结算服务交易服务司库管理平台信用与价值交易资产与资金交易资金与利润交易基于区块链的供应链金融协同区块链技术可以使交易结算更加高效和安全。传统金融系统的交易结算需要通过银行或其他中介机构,而这些机构需要处理大量的交易数据,并需要进行人工核对和处理。而区块链技术可以使交易直接由参与者完成,并使用智能合约自动完成结算和清算。有自主研发能力的集团型企业,借助区块链理念,构建包含账款管理、交易服务、金融服务于一体的供应链金融服务平台,并与司库平台协同开展结算服务、交易服务、风控服务、金融服务,更高效、安全地完成与客户、供应链上下游生态业务的协同结算处理。通过链接交易对手、金融机构、中介机构等生态伙伴,社会化商业生态中的交易往来数据形成了全天候数字化、可视化、可追溯数字生态,以区块链为底层逻辑的形成的分布式账簿、哈希算法、去中心化、智能合约的场景确保了数字化生态链的高效集成,智能识别业务信息与交易数据的链接关系;避免人工参与操作过程中的成本和风险,有效提升了数字生态内的企业之间交易结算的协同效率。图 11 基于区块链的司库生态服务协同方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准21数智化 生态化 全球化3顶层设计与应用主题:数智赋能 风险预控 精益运营在数据经济时代,高质量发展有一个特别重要的路径,就是创新驱动;创新驱动需要有高瞻远瞩的顶层设计和应用功能的支撑,战略级司库建设的关键要义就体现在如何理解数智时代的资金管理的关键特征,如何利用好数智时代的新技术、新思维和新模式;实现数智赋能、风险预控、精益运营。战略级司库需要有前瞻性的顶层设计:适配好企业不同发展阶段的司库管理模式要求,支撑打造多层级一体化司库管理模式;结合好企业级的前端销售、采购的收付款活动和外部投融资现金流活动作为战略级司库的三大循环运转机制,实现司库体系下企业营运资金池的最佳配置;利用好企业大数据,以精业益财融合式的资金管控和模型辅导的资金预测曲线为企业投融资管理提供更为科学的决策依据;构建好业务生态链协同的新结算,链接交易对手、企业数字化业务系统和银行全链条结算通路,提升数字化企业的结算协调效率;激活好全维度可融金融要素,深入盘活数字时代下企业的各类实体资产和数据资产,利用金融资源统筹赋能创新价值,结合数智产融助推企业战略执行,优化企业可持续发展下的产业分布。战略级司库需要有数字化的应用主题:坚持资金业务的管理数字化,让业务开展时有数据支撑、智能加持;坚持资金业务的管理数字化,让多维模型作为资金预算基座、精准预测底座;坚持资金业务的数字化经营,让资金防控前置作为执行资金预算的有效执行;坚持资金业务的数字化经营,让资金平衡、动态预算的作为过程依据持续优化管理模式;坚持数智化的资金经营方向,让资源配置模型化、智能化,从根本上发挥资金金融资源的规模效应,实现金融资源的有效配置。22全球司库 战略增值图 12 司库管理的数智化底座3.1.用友 BIP 全球司库产品顶层设计全球领先的数智化技术平台技术一直影响企业的生产力和商业模式,也改变着财务管理的工作形态和工作方式,数智化底座成为信息化应用的基石,支撑企业的发展和业务诉求。技术升级构筑全球司库的全新底座,推动财务管理的数字化和智能化水平,提升司库管理的精细化和个性化,加强司库管理的安全性和合规性。全球司库数智化平台通过融合化的方式提供服务,适配不断变化业务需求,为企业带来更高价值的应用。在应用服务层,通过流程应用服务(pSaaS)和数据应用服务(dSaaS)的融合。将工具型应用系统向多元服务体升级,融合工具、能力、资源服务、应用、业务、数据、知识和专业服务为一体。用友全球司库以BIP 数智化商业创新平台作为技术底座,从平台技术、应用架构到场景服务、用户体验、生态体系全面创新,位于全球领先水平。将数智化与信创化相结合,实现中国企业真正的国产化价值替代,铸成服务企业数智化的大国重器。技术平台数据中台低代码开发平台连接集成平台智能中台业务中台Iuap 企业数智化底座用友企业服务大模型YonGPT财务云财务共享管理会计报告合并商旅费控精准税务财务会计税务会计全面预算全球司库电子档案经营分析协同云企业门户社交沟通移动办公业务协同合同服务资产云集团资产资产共享资产租赁维修维护资产绩效采购云供应商关系采购寻源供应商协同电子招投标云采超市项目云项目预算项目合同计划&进度项目成本项目风险供应链云采购管理销售管理内部交易库存管理发运管理制造云生产计划生产管理质量管理智能工厂工业大脑研发云研发项目管理产品数据管理产品配置管理生命周期管理变更管理营销云B2B交易多级渠道新零售活动&费用销售自动化人力云人才发展员工服务全面薪酬目标绩效人才招聘组织人事人力共享干部管理人力分析场景化应用可组装管理循环多维组织特征体系时间轴 事项法会计社会化商业模型十大领域场景化服务应用服务SaaS/业务服务BaaS/数据服务DaaS大规模生态专业服务生态行业云服务ISV生态WMS、TMS、GSP、GMP、SPC、肉制品APS、企业学习、货物追踪、条码管理、智能工厂测评、智慧园区管理咨询、实施、开发、运维金融、能源、烟草、汽车、财政、军工、电信、国资监管与投资控股、离散制造、消费品、装备制造、钢铁冶金、流程制造、工业化工与造纸、现代服务.生态规模,不断拓展应用架构,不断创新领先技术,持续进化10大领域,564个创新服务PDCA方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准23数智化 生态化 全球化图 13 用友 BIP 全球司库应用架构用友 BIP 全球司库应用架构用友全球司库,以用户为中心的数智化感知体验,从角色化、可视化提供多端开放智能的服务应用,统一待办中心、消息中心、预警中心、应用中心、决策分析中心。将数据、智能、流程服务嵌入业务过程中,业务开展时有数据支撑,业务流程有智能加持。用友全球司库在经营管理层面具备强大的功能,能够直观洞察全球资源,进行资金预测,从而有效指导企业资源配置和效果评价,并直联监管系统自动报送。用友全球司库打造精益化全球账户闭环管理体系、智能统一的结算中台服务、高效运作的票证业务管理、四流合一的资金预算管理、高效运营的资金集中管理、债务融资的统筹管理、精益化的借款与担保管理、业财融合的应收账款清收、“期现合一”的衍生品管理、境外资金可视与安全管理、多维模型的决策分析,结合集中化的风险规则库和情景模拟,支撑业务全过程风险预判和管控策略制定。利用金融中台积累的金融产品数据要素、业务规则与适用场景,建立司库体系内的金融产品工厂,满足融资、债券、租赁、保函、保理、股权投资、基金、外汇衍生品等不断变化的业务类型,显著提升企业投融资管理过程的灵活性和多样性,激活金融资源的要素发挥,构建产融结合的战略生态,推动企业司库建设实现世界一流的数智管理目标。社会化数据智能识别智能配票智能认领智能录单智多星助手智能签收智能应用流动性监控银行存款金融投资银行理财银行贷款发债融资融资租赁贸易融资保理融资远期/掉期期权/期货成本分析损益分析金融业务票证业务应收票据应付票据票据池业务信用证业务保函业务现金业务账户管理资金池管理结算中心保证金管理内部计息每日现金流量表流动性查询以现金流为核心,开展所有业务计划储备池资金预测计划模板计划调整计划发布计划控制资金计划应收账款清收动态折扣供应链金融营运资金管理结算中台统一结算处理:合并、拆分、自动结算、大额预警、风险拦截等金融中台模型建立:自定义金融产品:投资、融资、货币市场、外汇、期货等资金舞弊风险合规性风险流动性风险市场风险信用风险虚假贸易风险风险管理资金运营全球可视智能预测资源配置监管报送决策支持司库统一门户统一消息中心统一待办中心统一应用中心统一分析中心Web端移动端智能设备司库入口技术平台业务中台数据中台智能中台低代码开发平台连接集成平台YonGPT平台服务业财一体金融机构用友BIP 全球司库 智慧运营 提质增效智能评价金融通道24全球司库 战略增值账户管理作为资金管理的重要组成部分,扮演着至关重要的角色,是确保企业资金安全和高效运作的基础。随着企业全球化经营的推进,建立精益化全球账户管理体系,贯穿资金业务各个环节,强化账户信息动态监控及风险管控,提升资金流动的透视力和管控力就显得尤为重要。用友全球司库通过强化账户标准、精简账户体系、统一账户流程、监控报表、考核督办等设计形成高效的全球账户架构,实现账户控制规则、账户开变销流程及账户标准化管理,确保账户信息准确、规范、完整及可视化。强化账户资金动态监控,实现账户资金精益管理数字化时代,账户头寸的实时管理,资金流动的动态监控直接影响着资金运营效率和效益。监控账户资金实时变动情况,需建立银企互连通道,实时获取账户头寸信息,减少人工录入工作的同时,提升数据的准确性和时效性。用友全球司库借助新一代银企互联及 RPA 技术,汇集各层级单位现金流数据,实时获取全量的银行账户头寸信息,建立层级明晰的管理和分析维度,自动生成日报、月报,实时掌握资金存量的单位、银行、地域分布,有效洞察资金流向和资金头寸的异常波动。嵌入账户风险管控规则,提升资金风险管理水平账户风险包括实物类监控及事项类督办,实物类监控包括 U 盾管理、印鉴管理等,通过记录变动情况,进行管理人校验,实时预警监控。事项督办包括账户申请后是否及时开立、账户销户及临时户到期后是否及时注销、是否及时开通银企互联等。3.2.用友 BIP 全球司库平台应用主题精益化全球账户管理体系规范账户统一数据标准,进行账户信息数据治理账户开立过程会形成账户档案,包含账户开户主体、社会信用代码、使用主体、银行类别、联行号、开户网点、银行账号、账户名称、账户性质、账户用途、是否受限、预留印鉴、网银 U 盾等关键信息。账户信息需要形成集团统一数据标准,规范信息填报的准确性及统一性。账户信息全覆盖业务要求、管理要求、银行服务等方面的属性,要将账户信息纳入主数据管理,实现主数据的统一和规范,避免了多头维护及信息不一致。集成账户线上审批流程,精细账户管控标准规范账户流程分为法定审批流程及业务事项申请流程,在账户开立、变更、销户等全生命周期管理过程中,需要实现流程线上化纵向到底的审批穿透。用友全球司库在账户申请过程中,将制度要求融入系统管控,进行差异化管理举措,对于合作银行范围内账户可以简化审批环节,对于合作银行范围外账户需审批加签。用友全球司库将开、变、销过程中涉及相关联的 18 项业务活动,嵌入业务规范化管理要素,每项业务活动与管控环节联动监测,实现账户信息准确规范,业务过程完整可视,考核督办实时监测。对现金流进行智能化梳理,分析资金流水,对大额资金异常情况进行反向追踪,从多个角度监测企业资金潜在风险,高效识别资金运作漏洞,确保资金政策的合规落地,防范资金舞弊风险。方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准25数智化 生态化 全球化图 14 精益化全球账户管理体系资金结算作为企业司库建设中的高频场景,其效率和合规性直接关系到资金管理的整体效果。在构建集团司库管理体系时,充分运用数智化技术,优化资金结算方式,规范资金结算流程,防控资金结算风险。用友全球司库以资金流为主线,打通业务与财务链路,多维度、全过程、自动化在线管控,对大额资金预警、异动实时反馈等资金风险全方位监控,确保资金风险“控得严”。从业务前端规范结构化和非结构化信息,形成全流程贯通的数据共享,嵌入风险规则库智能识别业务风险、结算风险、银行指令风险,建立功能完备、运行高效、安全稳定于一体的智能统一绿色结算平台。实现与金融机构和业务伙伴的无缝对接,推动业务结算流程的全面数字化升级。实现从申请审批到实际支付的全流程电子化,为企业财务管理赋予绿色低碳的内涵和降低资源消耗。形成全天候值守的资金结算数字员工,自动识别并高效处理各类复杂的结算业务,减少人工介入环节,大幅提升结算工作效率。业务与财务全链路打通,结算过程实时可见打通业务与财务的数据链路,建立企业级的业财银一体化结算应用平台,与预算管理、项目管理、应收应付、费用报销、财务共享、总账管理等各领域流程贯通,信息全流程在线,结算过程实时可见、资金结算安全可控,资金结算智能化、自动化效率提升。通过发送到银行结算数据的回执确认、银行交易流水记录以及会计凭证的自动编制,完成整个业务流程的闭环管理,确保了数据的透明性和一致性。资金结算业务流程中深度融合了智能化技术,不断优化企业内部审批流程,使得业务流程更加简洁高效。实现了全面的无纸化作业,减少了对资源的依赖和消耗,打造“无人值守”的运作模式,为构建可持续发展的商业环境做出积极贡献。智能安全的绿色结算平台关联业务协同一户一策申请账户标准数量检查黑名单管理融资事项专项开户投资理财专项开户.特殊账户开户政策.1A234账户直联挂接资金归集挂接内部账户关联票据直联开通5B678企业信息检查安全信息检查黑名单管理9C1011久悬睡眠户检查留存余额预警余额明细检查资金集中率检查资金直联率检查受限资金申请12D13141516账户余额检查直联取消挂接17E18开立申请开立登记账户变更账户巡检账户销户全过程闭环、信息闭环、开变销统一管理流程231向导指引规范,校验检查、附件合规检查风险模型配置 全方位风险校验 消息 预警 邮件 督办任务中心 多种方式提示账户标准管理开立账户数量控制开立银行准入规则账户标准规则业务办理时间要求低效户规则附件检查规则.监控分析报表账户信息报表账户资金日报账户检查报表账户属性分布账户数量变动.终始事前控制事中提醒事后监控26全球司库 战略增值图 15 智能统一的绿色结算平台 流动性与效益性指标融入支付过程用友全球司库结算平台将自动支付、见单支付、合并支付、拆分支付、延期支付、组合支付、一键止付等八种支付策略融入业务处理过程,实时监测企业每日及未来资金头寸,提前调配资金以保障资金流动性和效益性。安全控制与预警规则融入首尾环节利用大数据技术对资金交易数据进行深度分析,将唯一性校验、数据权限隔离、黑白名单校验、账户余额校验、大额资金校验、资金计划校验等 12 类安全规则首尾双控,规范结算行为,过程可视可溯,保障资金安全。新一代银企互联技术用友全球司库提供广泛的银行连接服务,支持与2700 多家国内外银行的对接,满足银企直连需求,助力跨国企业进行海外资金管理。覆盖传统货币收付及新一代票据业务、信用证、保函、数字货币交易接入、第三方钱包整合以及银行授信和融资贷款业务的数据自动化获取,为企业提供全面的金融服务解决方案。结算方式多币种8种支付策略支持结算中心代理结算见单即付合并支付延期支付拆分支付预约支付组合支付自动支付一键止付票据背书票据签发自动背书商业汇票资金计划控制结算日期结算变更合并拆分结算方式结算处理待结算待结算数据池结算工作台自动结算规则手动新增结算单AMHCBS直联中银香港SWIFT境内、外渠道银行指令接口指令状态超级网银代理结算财务公司融资付款采购付款资金调拨财务共享网银结算成功网银结算失败网银结算处理指令撤销指令提交状态获取自动指令提交规则指令工作台全过程安全风险管控指令手动提交标标效管实现业财融合,统一平台高效智能结算平台交易信息及支付状态结算信息支出项目信息结算信息实时反馈多源支付统一管理方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准27数智化 生态化 全球化图 16 高效运作的票据管理服务高效运作的票据管理服务商业汇票作为集团企业重要的支付和短期融资手段,在集团企业中得到广泛使用,票据使用的高效运作对于企业来说就显得尤为重要。用友全球司库提供票据的自动签收、自动拒收、票据计划控制、票据额度管控、智能结算配票、票据到期预警等数智化能力,为企业资金结算和票据运作提供更智能、更高效的服务。统一高效的票据全流程管理统一票据全流程管理,实现企业多银行全量票据签发、收票、背书、贴现、质押、托收、兑付的全流程线上集中管理。进行票据直连,实现集团票据信息动态采集、兑付预警、查询分析。同时将票据融入应收应付、资金结算管理中,充分利用票据参与结算,提高票据使用效率。协同运作的双池资源统筹用友全球司库支持集团企业进行票据资源的双池统筹管理:一是集团票据池的全流程管理,包括票据入池、出池、池内额度统计等功能。二是银行票据池管理,依托银行的金融属性帮助企业盘活票据资源,进行质押开票,质押流贷,长票换短票等金融业务,企业更好地发挥票据资源效益。灵活适配新一代票据系统用友全球司库适配新一代票据系统,为企业提供丰富的票据应用场景,支持等分票据在结算中高速流转、交易背景分析、企业信息报备、电票冻结、支付信用查询、增信登记功能等,合理利用票据资源,降低资金占用额度,提升票据流转效率,提高了票据流转环节的安全性,降低企业收票风险。票据分析可视可监控支持多维度、全过程的票据数据流转分析,可从集团、子集团穿透至各成员企业,从年度至月度到具体每一天,实时分析票据余额、票据结算流转过程、票据计划执行、票据融资等全生命周期状态,从而满足全集团票据可视可监控,让集团更好发挥票据资金效益。票据金额票据类型票据到期期限智能配票供应链金融系统财务公司票据系统商业银行集票宝直联清账处理凭证处理账务处理业务类型接受支付期限接受支付方式支付策略授信额度现金流计划资金计划控制票据台账票据存量分析票据运作建议票据波动分析票据结构分析票据趋势分析客商黑白名单商业银行黑白名单是否回头票风险识别银行承兑汇票信息商业承兑汇票信息供应链权证及链票票据信息池票据签收确认票据背书确认票据贴现确认票据托收确认票据开票确认票据兑付确认票据业务处理金融服务端司库系统财务共享系统营销系统业务端收票填单信息同步应收票据应付票据收票填单信息同步28全球司库 战略增值图 17:高效运营的资金集中管理高效运营的资金集中管理高效的资金集中管理是企业提升整体财务运营效率、优化资源配置的关键环节。通过智能化配置资金集中管理策略,提高资金管理效率,降低资金操作风险。通过设置灵活多样的资金归集、下拨及调拨策略,构建虚实结合的资金池体系,实现对全集团资金的高效整合和精准调度。建立管理机制,强化资金管控能力建立资金归集体系,强化集团资金管控能力,企业内部资金市场化运作,以资金有偿使用为基础,健全内部计息机制。通过相应的内控制度和资金管理规定,约束资金收支例外行为,保障集团资金规范运作,确保资金管理的合规性、安全性和效益性,提升集团资金管控整体水平。金融资源有效整合,提高资金使用效率通过自动化的资金集中策略,集团公司能够及时动态掌握企业的资金存量、资金结构,统一筹划资金支出,保障资金流动的均衡性和有效性,为企业经营决策提供数据和信息支持。发挥资金规模优势,降低外部融资成本企业根据自身经营特点和公司性质,规划并实施具有针对性的资金归集、下拨以及调拨策略,实现各分子公司、项目部等经营单元的资金有效调配,帮助成员公司解决“存贷双高”,实现企业内部资金的高效利用。金融资源集中后形成资金规模优势,统一融资政策,控制对外筹资规模,利用集团整体信用,降低有息负债的成本。内部账户余额表厘清账户体系搭建资金池架构规划资金集中业务流程资金集中收益测算及分配资金集中核算凭证处理内部账户明细表内部账户数量表内部账户对账表内部账户计息表B单位内部账户C单位内部账户N单位内部账户内部转账内部转账协同生成协同生成账户设置灵活可灵活设置内部账户开销户流程交易登记多样交易映射、手工新建、内转审核账户自动计息按照内部账户余额做计息,支持针对账户余额及账户透支分别设置不同利率.A单位内部账户内部结算中心BCNAN单位上划回单N单位下拨回单C单位上划回单C单位下拨回单B单位上划回单B单位下拨回单A单位上划回单A单位下拨回单内转单内转单集团资金下拨单集团资金上划单方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准29数智化 生态化 全球化图 18:四流合一资金预算管理四流合一的资金预算管理资金流量“管得住,调得动、调得好”,资金预算管理是实现金融资源高效配置的核心手段。驱动业务源头的计划管控,以业务为出发点,以企业经营目标为主线,支撑集团各级单位从资金计划编制、上报、汇总、平衡、分解、发布及执行分析的闭环管理。中长期资金预测数据作为战略指引,确保目标“不跑偏”;年度现金流预算进行总体调控,承接战略目标指导业务经营;月度资金计划实行分类分层精细化管控,以精准的预测满足资金头寸安排。源于业务端的计划流聚焦短期资金计划编制,与前端业务系统打通,结合成员公司前端系统集成,数据源按经营、融资、投资分类进行数据标准规范,实现资金计划编制数据有源,维度精细。细化颗粒度至银行机构、资金渠道、关联交易、客商、融资合同、项目、合同等,通过数据集成提升填报准确率,降低人工预测的偶然性和误差率。联动约束的关联交易流集团企业成员单位之间资金关联交易复杂,很大程度上影响资金头寸的安排。在编制过程中采用双方确认与取消确认,源头上保证了关联交易业务上信息的一致性。刚柔结合的控制流根据业务类型分层管控收支,细化管控颗粒度,按刚性和柔性控制相结合,实现单项与总额结合、年度与月度结合。财资融合的预测流提取内外部融资计划数据,与信贷业务有效贯通,盘活资金的整体流动性,自动计算存贷比和流动性比例。销售收款计划租赁收入计划投资收益计划衍生品交易计划经营活动收入经营活动业务计划业务计划参照生成业务经办按需填报资金计划明细编制2 确认方确认计划3 汇总抵消关联交易计划1 发起方编报计划3 生成双方明细资金计划内容关联交易协同确认业务计划与资金计划衔接,提高资金计划准确性,提升资金使用效率(1)源于业务端的计划流(3)刚柔结合的控制流(2)编制联动约束的关联交易流(4)财资融合的预测流融资到款计划融资还款计划债券发行计划电票承付计划筹资活动收/支筹资活动业务计划购买资产工程项目发放贷款股权投资投资活动收/支投资活动业务计划其它业务计划合同付款计划项目付款计划经营投资计划衍生品交易计划经营活动支出按月滚动预测建模DFCNPV按季滚动按年滚动定长滚动决策分析最佳存量资金曲线模型训练智能预测中长期预测滚动编制关联交易数据有源数据计划资金提升资金使用效率提高资金计划准确性30全球司库 战略增值图 19:严格的债务融资统筹管理严格的债务融资统筹管理企业债务融资管理是财务管理的核心环节之一,它实现了现代企业资本运作战略与日常财务管理的有效对接,是确保企业稳健筹资、优化资本结构、降低融资成本的关键手段。在复杂多变的金融市场环境下,为企业健康发展提供了有力的资金保障。建立融资业务与专项预算联动机制细化融资计划项目、加强计划执行关联协同和控制作用,按不同期限融资需求编制预算,基于台账信息与内外部数据的集成辅助融资审批决策。以保障流动性预测所需的最佳现金持有量为指引,持续优化集团流动性指标。通过定期监测流动比率、速动比率、货币资金与总资产比、自由现金流等流动性指标的波动情况,协同各项融资活动的开展。完善融资全周期管理,实现金融资源内外协同提供到期及时预警功能,防范贷款逾期风险。实现对授信、担保、融资风险预警、决策分析的全生命周期管理。实现资金结算共享平台、财务核算、合同采购、供应链金融、投资管理等系统的互联互通,实现债务还本付息的业财数据的深度融合和资源协同。融资预算持续优化流动性指标 流动比率 速动比率 货币资金与总资产比 自由现金流 .融资方案 融资机构风险 融资单位风险 融资需求风险 财务风险评估融资合同 额度风险 期限风险 利率风险 担保风险 用途检查 产品准入融资提款 还款计划 支付方式 账户风险 逾期风险融资还款 利息核算 费用核算 风险计提风险评价 主体信用评级 融资机构评价 债券市场评级融资业务全流程风险前置机构画像、智能审核流动性预测最佳现金持有量融前融中融资全流程风险防控 风险计算参数化 风险等级可视化 风险跟踪流程化融后方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准31数智化 生态化 全球化图 20:借款与担保管理精细化的借款与担保管理借款与担保是集团型企业的重点关注业务,它们有效联结了企业资本运作与日常财务管理,精益化的借款担保管理是企业实现内部资本优化配置、降低融资成本、严控表外负债的重要举措。妥善管理内部借款与担保业务,可以有效地调动集团内部资源,促进企业稳健运营和健康发展。建立“全程化、可视化、规范化”的借款与担保管理体系设定集团本部及各级子企业借款与融资担保权限和限额、利率及费率,明晰借款与融资担保管理的流程步骤与相关部门职责,加强借款与融资担保业务中的预算管理、合规管理和风险管理。提高集团监控能力,降低盲目借款与担保风险实时掌握各成员公司借款担保状况,集团内借款与担保流程全面可视,对借款与担保有效监督。业财数据整合分析,优化借款与担保结构通过业财数据整合分析,持续优化借款与担保结构,有效降低集团整体借款与担保规模,促进公司负债的精细化管理水平。基础参数设置基础设置合同分析物权额度使用分析合同额度监控合同额度使用分析担保业务分析担保费计算担保费预提担保费收取担保费管理额度设置额度占用释放额度控制额度管理物权登记物权变更物权管理担保合同合同变更基础设置担保管理投资管理商业汇票信用证管理生成物权融资管理关联物权担保预算资金预算报表系统产权系统外部模块融资管理信用证管理保函管理商业汇票授信管理关联担保生成物权关联物权担保预算占用&释放财务数据股权占比32全球司库 战略增值业财融合的应收清收管理应收清收管理是集团企业财务两金压降聚焦点,司库体系的重要组成部分,它连接了业财一体化的各个环节,对企业现金流和财务健康至关重要。应收款项的质量、应收款项能否及时清理,体现了当下企业的核心竞争力。应收应付从事前信用体系、事中优化结算、事后强化分析考核三个维度出发,形成前端业务、挂账、企业画像、结算、清账等多环节的业财融合协同闭环,打造应收应付数据动态管理和实时清账体系。客商统一管理信用体系:根据不同客户的资信审查、信用评价、准入管理等情况,明确不同等级客户的预付、赊销账款的比例和期限,动态调整信用等级,并对客户信息实现集团内共享,将失信企业纳入黑名单并采取相应的风险管控措施。结合社会化大数据监控预警:结合外部社会化数据(如企查查、天眼查等),自动生成应收账款结构化分析数据。根据应收款项管理规则,支持对不同信用等级、不同资质的客户以及客户失信名单等增加提示或审批节点,应收账龄到达预警参数自动提醒。催收、清账过程自动化:对集团内部关联交易和外部往来,进行结算模式的优化调整。与业务端、结算端、财务核算的实时贯通,在结算平台构建实时清账的自动化。多维分析及风险预警:对应收账款风险维度、客商信用维度、账龄、合同履约信息形成综合性、结构化分析,优化集团内外部循环,提高应收账款清收管理水平。风险管控模式由事中事后走向预防,增强企业流动性和抗风险能力,提高企业核心竞争力。方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准33数智化 生态化 全球化图 21:期限合一的衍生品管理期现合一的衍生品管理司库通过有效融合现货交易和各类衍生工具策略,动态精细化地管理外汇及利率风险敞口。充分利用现有数据资产以及外部市场数据,结合内部财务指标,构建模型,以此洞察未来市场汇率、利率走向,并为企业的决策制定提供数据支持,保证了管理决策的前瞻性和精准性。同时,在全面评估风险敞口后,司库运用金融工程理论灵活设计并优化套期保值方案,将远期合约、期货、期权等多种衍生工具合理搭配,以期在实现既定套保目标的前提下,尽可能地捕捉潜在的市场收益。期现合一的衍生品管理是司库外币资金管理的重要组成部分,它实现了现代企业风险管理理念与实务操作的高度整合。是有效抵御金融市场风险、实现资产保值增值的重要工具。为企业在复杂多变的国际金融市场环境中稳健前行提供了强大支撑。测算模型以及智能算法的应用,在外汇及衍生品管理过程中尤为重要,不仅可以精准匹配当前市场状况与企业需求,适时推荐最优的金融衍生工具组合,还可以根据市场波动资讯,实时调整策略布局。贯穿整个“期现合一”衍生品管理流程的是严谨的风险控制机制。司库不仅关注单个衍生产品所带来的风险特征,更着眼于整体风险敞口的集中度及其相关性,利用先进的量化风控技术,在应对市场波动时展现出强大的风险防御能力,保障企业的稳定运营与持续发展。利率汇率曲线宏观指标行业信息金融市场数据期末持仓规模浮动市值盈亏年度交割盈亏国资监管系统即期外汇申请代客交易审批衍生品申请代理交易台账直接交易报表司库科目余额核算数据核算系统交易处理附件上传财务公司核心系统外币合同业务申请业务系统数据中台分析平台提供社会化数据提供业务数据利用数据形成各类图表指标展示及风险管控推送业务背景.集成业务申请.外部数据辅助业务办理.外部指标对司库业务进行风险管控.基于司库业务数据,报送国资委提供科目余额推送交易申请反馈交易台账.集成附件信息.提供交易数据提供台账数据提供核算数据34全球司库 战略增值图 22:境外资金可视与安全管理境外资金可视与安全管理全球司库管理在跨国企业中扮演着关键角色,通过构建全球资金可视体系、境外资金池管理机制、多币种资金流动性管理和外汇风险管理四个维度,有效应对海外经营中的复杂性和多样性挑战。资金预测计划,多币种头寸管理结合账户余额以及计划明细执行结果,每日更新资金日历数据,实时监控不同币种的资金头寸变化。按照币种、单位、计划项目以及收付渠道等进行资金计划的明细分析,并模拟测算不同业务事件对资金头寸的影响,选择适合的流动性管理策略。外汇实时监测,风险量化管理通过动态监测外部金融市场数据的变化和趋势,建立量化的金融市场风险模型,实时分析汇率波动对多币种资金持有量的影响。采集各类业务的风险敞口,应用汇率情景模拟分析、压力测试等量化计量方式,对金融市场风险开展前瞻性管理和风险对冲,提升科学管理市场风险的能力。打通境外连接,全球账户可视实现资金业务的标准化统一处理,满足集团企业不同国家、多银行、多币种、多语言环境下银行账户开销变的内部审批流程和分级授权管控。通过银企联直联境外银行系统、SWIFT、FTP 文件解析和 RPA 机器人等手段实现全球账户资金可视。统一结算平台,跨境分层调度建立全方位端到端一体化管理,通过区域管理集中的模式,进行不同币种的资金结算业务处理。建立境外资金区域集中、逐层管理、跨境应用,全流程智能化规则判断和自动调配策略,减少资金在全球各地的不合理沉淀。韩国Korea日本Japan印度India俄罗斯Russia欧洲Europe加拿大Canada美国America巴西Brazil阿根廷Argentina南非South Africa澳洲Australia海外银行连接全球统一结算境外资金池外币流动性利率/汇率风险全球司库方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准35数智化 生态化 全球化图 23:供应链金融管理数据资产运营的供应链金融管理首先,司库系统将企业的应收应付信息实时推送至供应链金融平台,作为其开展供应链融资的坚实数据基础。这些翔实的交易数据,不仅揭示了企业与上下游伙伴间的商业关系及资金往来情况,更体现了金融资产在产业链中的流转状态与价值潜力。通过精准挖掘和高效利用这些数据,供应链金融平台能够快速识别优质融资标的,精准匹配资金供需,推动应收账款、预付账款等闲置金融资产转化为流动性强、收益可观的融资工具,实现金融资产的高效利用与价值增值。其次,供应链金融平台将与供应链融资相关的台账信息,如融资额度、利率、期限、还款进度等,无缝同步至司库系统,构建起全量、全景的融资数据视图。司库管理人员借此可对各类供应链融资活动进行精细化统计、深度分析,洞察融资成本、风险分布、资金周转效率等核心指标,为优化融资结构、调整支付策略、防控金融风险提供有力的数据支持,进一步提升司库管理的科学性和前瞻性。供应链金融在司库管理中的应用,是企业优化资金流动、提升金融资产利用率、强化风险管理的重要手段,实现了司库与供应链业务的深度融合与高效协同。再者,司库系统将供应链支付作为一种独立且重要的结算方式纳入管理体系,大力推广供应链票据、电子债权凭证等创新支付工具的应用,拓宽其使用场景,增强流通性。此举不仅简化了供应链交易流程,加速资金周转,降低了结算成本,还通过标准化、电子化的支付方式,提升了交易透明度,强化了对供应链金融活动的监管与控制,有效防范了虚假交易、重复融资等风险,为维护供应链金融市场的健康秩序奠定了坚实基础。最后,司库与供应链金融平台的深度集成,实现了前端业务数据与后端供应链金融服务的无缝衔接与高效协同。这种一体化架构确保了基础资产信息从源头的准确无误,杜绝了信息孤岛,从根本上保证了融资标的的真实性与合法性。同时,数据的即时共享与联动处理极大提高了供应链金融服务的响应速度与处理效率,使得企业在应对市场变化、捕捉商业机会时能迅速做出决策,灵活调配资金,确保供应链金融活动的安全、顺畅运行,有力推动了企业乃至整个产业链的稳健发展。采购订单销售订单进项发票销项发票采购到货销售发货应付账款应收账款存货管理票据资产交易数据资产上下游企业主数据及交易关系供应商经销商数字资产运营平台区块链技术 资产防伪 可追溯资金方联合定制产品 发票贷、税贷等数字普惠类产品数据融资数据増信核心企业自主可控资金,包含核心企业主体信用或供应链融入资金动态折扣账期保理类动态折扣在线保理多级权证流转(银票、商票)在线秒贴数字供金五大业务模式资金方链接36全球司库 战略增值图 24:全过程预判式的风险管控全过程预判式的风险管控服务通过流动性比例、存贷比有效的管理资金均衡,与资金计划管理联动机制,每周统筹各成员单位的资金计划明细以及集团整体资金运营数据,按周动态监测流动性风险,通过模型测算出指标偏差度,从资产配置以及风险应对角度,对企业未来流动性给出调整建议,主动管理资金流动性的目标,联动成员单位的资金计划调整,实现流动性管理的最优化。风险管理是司库管理的核心议题,严控风险的思想,已经嵌入到了司库管理的方方面面,并且从最初的被动的风险控制,发展到现在的主动识别预防,以及事后评价分析、行为管理等。同时先进技术的引入,也为风险管理带来了新的思路。事前事中事后风险管控体系依托风险规则中心与风控模型,对风险事项的自高效识别、提前预警、合理处置,客观评价。将风险防控融入管理细节,以消息、流程、单据、字段等不同层面,嵌入风控内容。制定风险应对策略,实现预警、提醒、制止等不同等级的防控举措。沉淀风控数据资产,形成 352 个风险规则,不断提升风险防控能力。充分利用特征体系,敏捷感知风险事项,快速定位风控环节。集成外部数据,完善风控模型,对未来趋势进行有效预判,辅助战略决策。流动比合理阙值时间12日N日11日10日9日8日7日6日5日4日3日2日1日流动比率基于资金计划及自营业务计测算的流动比预计值基于测算结果模拟调整企业和财司侧业务后的流动比预计值 基于流动比指标与设定阈值的偏差度,推导为使流动比处于合理范围,所需的流动资产、流动负债的变化规模;可以通过模拟调整企业资金计划,或者财务公司自营业务的方式,测算流动资产、流动负债结构是否合理;基于测算结果,向成员单位或财务公司职能部门,提出优化流动性的建议流动性管理模型资金计划账户余额其他企业侧数据同业台账信贷融资投资业务其他资金运营数据流动资产流动负债方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准37数智化 生态化 全球化图 25:司库运营分析产融协同的司库运营分析通过数字化技术的广泛应用,司库激活了数据的巨大潜力,推动“传统”业务模式向“数字”生态模式的转型。一方面,基于业财税资档的高度集成化、规范化,提升了经营活动分析的前瞻性和准确性,增强了战略决策支持的深度。同时,以产业协同的视角整合集团内外部金融资源数据,实现了动态化、可控化、可追溯化的智慧司库运营分析体系。司库系统内置的定制化私人数据分析报告功能,提供了多元化的指标分析系统和多维度的数据透视工具。可根据不同职位和地域的特定需求,创建个性化的分析报在数智融合的新视角下,司库运营将全面深化对金融资源的掌控,实现全球资金的高效统筹,推动生产要素实现最优配置,从而助力企业发展。告。这种个性化的服务模式,使每位用户都能在海量的数据中,快速锁定关键信息,以灵活直观的方式,分析历史、观测趋势,从而通过司库管理视角,推动企业管理的优、进步。司库系统卓越的跨平台能力,打破了设备界限,实现了不同终端平台的无缝连接,使得办公不再受空间和时间的限制,保障了企业的高效运营。同时,开放的运作机制,不仅可以将不同数据源的海量信息进行汇总加工,借助内置模型进行分析、预测。还可快速适配不同厂商、不同类型应用,进行灵活、具象的结果展示账户管理:10 商业汇票:19 风险管控指标:50 融资与担保:20 投资:10 资金集中:30 其他:10 指标分析与风险嵌入业务域指标司库业务票据管理:42账户管理:22资金指标:23融资管理:40担保管理:16应收应付:36风险:42数据中台决策支持指标决策支持决策支持全球司库系统业务分析域指标国资委风险监控指标(30 )司库蓝图规划:数据中台 司库指标库 司库管控与分析账户管理开立账户标准合作银行准入严控账户数量定期清理无效直联覆盖率资金异常指标余额限额管理集中/融资归集策略资金头寸资金使用率带息负债规模融资成本率带息负债融资成本率结算/票据.结算合规性疑重指标票据周转率票据使用率赊销账款比例和期限黑白灰管理担保/其他担保开展指标外汇管制条例供应链金融经营范围决策支持多维指标 融资管理:增强整体融资的扩展性分析 资金集中:资金池流入、流出全景视图、数据下钻 增强点:数据多维能力展现、多维指标分析38全球司库 战略增值全球司库 AI 服务涉及多个方面,旨在通过应用人工智能技术来优化和增强司库管理的功能和效率。外汇风险管理:司库 AI 服务在外汇风险管理方面尤为关键,能够帮助企业实时掌握外汇市场的动态,包括主要货币对的汇率走势、市场供求关系、宏观经济数据等。通过对这些数据的深入挖掘和分析,及时提醒企业调整外汇风险管理策略,避免潜在损失。同时,AI 服务还可以为企业提供优化资金配置的建议,使企业在保证资金流动性的同时,降低汇率风险对企业现金流的影响,从而确保企业的财务稳定和业务持续性。自动化与流程优化:AI 服务可以帮助实现司库业务的自动化,如自动报送系统可以自动从各个数据源中抓取、整合和分析数据,生成准确的报表和报告,大大减少了人工干预的需要。这不仅降低了出错率,还释放了人力资源,使其能够专注于更具战略性的任务。AI 服务还可以分析历史数据,识别出流程中的瓶颈和低效环节,提出改进建议,包括优化数据输入方式、改进数据处理算法、调整业务流程等。预测与决策支持:司库 AI 服务利用数学模型实现分类预测,进行滚动预测和趋势分析,揭示出市场趋势、行业周期、业务行为等关键信息为企业的战略规划和业务决策提供有力支持。可集成 AP/AR 实现精准预测,2 5年历史数据沉淀捕获趋势规律,多重模型预测集团整体现金流波动规律和最佳资金水位,为企业提供合适的投资策略和融资管理方案。人才发展和培训:AI 可以用于开发定制的培训程序,帮助司库团队提升所需的技能,如数据分析、战略思维和技术亲和力。同时通过模拟和预测市场情景,AI 可以作为模拟工具,帮助司库人员进行风险管理和危机应对训练。3.3.用友 BIP 全球司库 AI 增值服务智能中台服务:通过中台化架构,将通用领域的服务和技术封装成可复用、可扩展的共享能力,以满足各领域数智化应用的需求。智能中台服务包括数据智能分析、数据治理、数据建模等,以支持司库的数据管理需求。同时,借助 AI 算法和机器人技术,智能中台还能满足多样化、智能化的业务需求,如现金流预测、投资方案、融资方案、智能(自动)定价等,根据监测结果发出风险警告/提醒。基于数据智能与业务机理的深入融合,实现不同约束条件下的企业生产经营过程的预测模拟,根据比对/检测/预测结果进行资金风险诊断,提供 AI 驱动的一键式风险分析报告。风险管理与防控:司库 AI 服务在风险管理方面发挥着重要作用。利用先进的量化风控技术,有效检测账户、结算、票据、应收应付、授信融资、贸易链等业务活动中的风险特征,进行风险预判预防,如建立账户画像,大额支出对公单笔阈值、对公累计阈值、对私单笔和累计阈值等,有效监测全集团不同板块不同业务类型的大额交易支出风险。通过大数据分析和机器学习算法,对司库中的金融资源数据进行深度挖掘和处理,包括投融资数据、借款和担保数据、票据数据、现金流数据、资产负债表、利润表等财务信息,以及市场利率、汇率、商品价格等外部金融数据。识别并评估企业的风险敞口,构建风险模型对各类风险敞口进行量化和排序,揭示潜在的系统性风险,用以制定更加科学的风险管理策略,从而在激烈的市场竞争中保持领先地位。随着技术的不断进步和应用场景的不断拓展,全球司库 AI 服务将在未来发挥更加重要的作用。方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准39数智化 生态化 全球化4司库管理数智化领先实践A 央企:智慧司库数智融合支撑价值释放该集团是中国最大的核电企业、中国第二大清洁能源企业、世界第三大核电企业。在价值型司库体系基础上,集团不断前行,积极响应国家号召,着眼国内国际发展趋势、结合自身管理需要,积极探索司库体系对战略管理全周期的有力支撑,并借势数字经济发展新机遇,探索智慧型司库应用。以打造世界一流的全球司库为顶层设计,以赋能战略、创造价值、管控风险三个目标为导向,以四类关键职能和八项组织支撑为“四梁八柱”,以筑牢“一个数字化智慧司库平台”为地基,建设具有 A 集团特色的司库管理体系。智慧司库体系涵盖管理制度、管理机制、信息系统等要素。推进司库体系不断完善和持续优化,实现对资金等金融资源“看得见、管得住、调得动、用得好”。图 26:智慧司库管理平台通过整合现有核心系统、建设司库业务系统和监控分析系统,规范业务管控风险,沉淀数据资产,为分析决策提供必要的数据支撑;连接境内外 3 个分中心专业系统,与各单位业务系统拉通,实现境内外资金集中以及收付结算,实现能效的提升;N 个数据中台应用支撑司库业务及分析系统,实现基于集团数据中台服务能力,全面支撑智慧司库应用的目标。智慧司库兼具管理与运营职能,全球化加强,依托专业资源与金融科技、整体资产配置效率提升、降本增效控风险,数据治理进一步增强业务深度与广度,数据穿透可视,业务和数据挖掘整合,开启数智融合支撑价值释放、战略决策的新篇章,实现企业资金管理能力的“第二次飞跃”。战略与决策支撑策略类金融机构关系管理供应链金融资金预算应收应付管理运营类资金计划管理资金集中管理投融资管理账户管理操作类票据管理资金结算管理借款与担保管理舞弊风险管理风险管理类合规风险管理流动性风险管理金融市场风险管理司库风险可预警可管控可追溯可度量金融资源看得见管得住调得动用得好党建引领理念文化管理组织管理机制人才队伍科技力量风险控制考核问责打造智能化司库平台,实现司库全域数据集成,提速流程,辅助决策,强化信息化规划与管理业务实践“双驱动”智慧司库管理平台战略导向积极赋能业务价值导向主动价值创造风险导向守住风险底线打造世界一流司库管理体系1个管理体系3个目标导向8项组织支撑1个智慧平台4类关键职能1348140全球司库 战略增值B 央企:业司核报一体化司库深化业财融合该集团是国内机械工业规模最大、覆盖面最广、业务链最完善、研发能力最强的大型中央企业集团。拥有近 50 家全资及控股子公司,10 余家上市公司,300 多家海外服务机构,全球 10 余万员工。作为中央直接管理的国有重要骨干企业及机械行业龙头,资金总量巨大、日常结算量巨大、交易频繁、组织机构复杂。因此,在司库管理方面,是面临着巨大挑战的。为深入贯彻党的二十大关于建设“网络强国”“数字中国”的战略部署,落实国务院国资委关于加快推动中央企业司库体系建设的工作要求,结合集团发展战略,以集团财务管理提升三年行动方案为契机,因地制宜,将司库体系建设作为促进财务管理数字化转型升级的切图 27:“业司核报”司库管理平台入点和突破口,以司库信息系统建设牵引整体信息化建设工作,全面提升集团数字化运营能力。B 集团司库平台基于用友 BIP 商业创新平台开发实现,借助互联网、大数据、人工智能等创新技术,实现内部贯通“业司核报”一体、外部社会化数据互联互通、金融机构实时互联、产业链金融平台开放共享,构建了集团司库“生态圈”。实现了端到端业务线上不落地处理,破除系统孤岛和管理壁垒,以横向到边、纵向到底的决心推进了业财深入融合,切实发挥了对集团数字化建设的牵引作用,基本达到了集团确定的“六个贯通”和“司核报一体化”建设目标。应收账款管理应付账款管理营运资金资金调拨资金归集资金集中收支结算内部结算资金结算合作银行管理银企效益评价银企关资金预算现金流预测资金计划业务经营预算资金预算衍生品交易管理敞口管理金融衍生内部市场定价内部资金调剂内部借款产业链金融(债权)产投融资(股权)资本协同投资管理(资产)内部资金余缺预测内外部资源调配担保管理债务融资(债权)资本运营业财融合的资源配置司库数据与分析司库风险管理集中高效的资金交易战略协同的资本运作统一资金池账户管理具体管理任务支撑票据管理数据应用数据标准数据纬度数据模型数据连通制度与流程政策制度操作手册流程框架步骤节点技术支持基础设施服务架构应用集成安全协议组织与人员组织协同考核监督发展激励数据治理数据资产治理架构治理手段决策分析司库概况司库分析专题司库分析指标司库管理报告司库决策地图司库管理模式三位一体分工明确职责清晰协同高效总部统筹平台实施基层执行集团司库中心司库管控模式兼顾差异和灵活的分层战略管控模式财务公司/财务共享中心产业集团/分子公司风险识别风险评估风险监控风险预警舞弊风险合规性风险流动性风险金融市场风险合同系统ERPOA内部系统内部协同方生产部门销售部门采购部门管理部门SWIFT银企直联内部系统产业链相关方金融机构监管机构数据机构供应商看得见管得住调得动用得好司库管理体系国资委监管要求指引集团战略、三年财务管理提升方案、司库实施方案指引业界领先实践对标模式价值能力支撑方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准41数智化 生态化 全球化C 央企:端到端风险可视的司库管控平台该央企是国资委一级央企中规模较大的多元化投资集团,是中央企业中唯一的投资控股公司,是首批国有资本投资公司改革试点单位。连续 19 年在国务院国资委经营业绩考核中荣获 A 级,连续 6 个任期获得业绩优秀企业。根据集团“强总部”要求,构筑集团资金管理全事项、全流程的标准化、在线化、数字化、可视化、智能化的可控资金集中管理平台,以加强融资管控、资金平衡管控、资金集中管控、资源配置管控“四个加强”为目标,实现资金管理由“资金监控支撑”向“资金集中管控”转型升级。图 28:战略级司库管控平台加强资金集中管控:通过银企直联、财务公司及融实国际的业务系统,同步各单位账户信息,实现账户信息实时统计查询功能,并展示关键性指标,进而加强资金监管。加强资金平衡管控:通过资金计划的管控,协助集团资金管理部门进行资金平衡。加强债务融资管控:支持对融资业务的授信、融资合同、放款、计息、付息,还本等全业务流程统一管理,形成统一融资台账,便于集团统一掌握融资情况,防范融资风险。加强资金资源配置:通过资金平台搭建,结合融资、资金平衡、资金集中管控的管理,协助集团能够高效地协调内外部,国内外资源配置。业财联动流程业财数据的转换风险规则化内嵌管理精益:资金计划实时映射到业务活动,推动管理精细化交易合规:业务的全程数据化,各环节的业务回溯管控内嵌:将预算、融资等管控要求,实时通过业务数据进行校验管控规则实时数据校验端到端可视可管共享平台前端业务系统ERP系统供应链系统合同系统项目系统业务运营合并报表应用“一键出表”预算管理应用“实时预测”管理会计应用“多维损益”财务管控能力战略级司库管理平台多维多元数据分析决策模型“千人千面”统一门户融合专项主题看板流动性分析融资成本收支波动加强资金集中管控加强资金平衡管控加强债务融资管控加强资金资源配置标准化、在线化、数字化、可视化、智能化42全球司库 战略增值通过集团财务化一体化平台建设,实现了集团财务信息系统的“横向集成,纵向贯通”,能够有效实现集团财务穿透式管理,为集团司库体系建设构筑了坚实的基础,司库系统建设也根据数据互联互通、业务流程贯通、信息互相校验的集成原则实现与其他财务系统集成贯通,初步达到了战略引领型司库管理的建设成效。业务全流程管理,资金精益化管理提升集团将账户、结算、票据、融资担保和融资等业务交易全面纳入司库系统管理,业务全流程线上处理,实现对账户全生命周期管理、资金集中支付、票据交易和融资担保等全流程闭环管理系统设置管控节点,增加精细化管理的抓手,如票据、融资到期提醒,低效账户识别,未归集资金自动监测,账户授权超期提醒等。资源集约化配置,有效降低资金成本可归资金归集率达到 95%以上,资金归集规模大幅增加,为集团提供了低成本资金保障,有助于降低集团资产负债率和财务成本资金计划精细化管理,降低备付金,提升资金使用效率通过融资成本对比分析,指导成员企业压降高息债务,实现降本增效。聚焦四类风险,风险防控能力不断强化关注四大类资金风险,通过 19 项系统硬控制、23项预警提示、8 项报表展示和 2 个风险模型进行风险管理聚焦虚假贸易,建立贸易管理模块,对虚假贸易风险进行业务监控、支付复核、流水筛查在资金结算、票据交易环节增加风险预警和拦截功能,如承兑人风险、回头票预警,大额、重复、黑名单支付拦截。数据自动化采集,决策支持能力不断提升通过与商业银行、票交所等直连,实现每日监测银行账户、资金余额、持有票据余额,定期掌握集团融资、担保和应收应付情况,为集团管理压减账户数量、未归集资金追踪、债务成本压降、负债结构调整等提供决策支撑。方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准43数智化 生态化 全球化D 央企:自主可控的境内外一体化全球司库该集团是一家总部设在澳门的国务院国资委直属中央企业,开展多元化业务参与全球化经营的大型集团公司,拥有 8 家二级公司及百余家全资、控股、参股子公司,业务遍及全球五大洲 40 多个国家和地区,主营业务涉及能源保障、民生贸易、酒店旅游、城市建设、综合物流、文创会展、公共交通、现代金融等产业板块。司库建设围绕 1 套统一的司库管理体系、境内境外 2 个资金池、4 类风险防范举措、N 个司库系统应用进行搭建,实现业财信息的穿透式管理和财务管理的价值创新。应用新一代技术平台搭建“三库一门户”(即司库决策分析指标库、风险防控规则库、异常贸易排查库,全球司库统一门户),全面推进信创国产化进程,打造自主可控的全球司库系统。金融资源有效配置:统筹全集团银行授信、债务融资、投资理财、内部借贷、担保保函等业务,与财务核算形成一体化管理,建立银行关系管理,科学评价各银行合作和服务情况,建立银行黑白名单和信用管理。通过集团资金池有效调剂不同业务板块的资金需求,不断降低不必要的融资规模和融资成本,使集团实现最优的财务结构。市场风险实时监测:利用汇率机器人和利率机器人,动态监测外部金融市场数据的变化和趋势,实时分析汇率波动对全集团各类外汇存量的损益影响。应用汇率和利率的情景分析,对金融市场风险开展前瞻性管理。战略决策科学管理:建立全球司库统一门户,形成“智能友好、穿透可视、功能强大、安全可靠”的司库系统,将管理制度及流程、风险预警提示、待办任务推送、8 大类 115 项决策分析指标、N 个司库系统应用融入其中。全面推动数据治理工作,结合数据中台的应用,规范业务到司库全链条数据,确保数据同源和信息完整,建立从资金后端到业务前端的全流程分析和管控,激活司库数据价值,提升资金管理的科学化水平。全球银行账户可视:统一境内外账户管理流程和账户信息标准,集中管理账户开销变审批及账户启用,建立境内外银企直联统一对接通道,实时获取分布在澳门、香港、加拿大、境内等地的全球账户信息,并应用 RPA 机器人将全球账户可视率提升至95%以上,自动化完成银企对账。全球资金集中调配:建立收支两条线的资金集中管理体系,开设港币、美元、澳门币、人民币等多币种资金池,通过年度资金预算、月度资金平衡和每日资金头寸管理,精细化管理资金使用计划。在外管政策范围内最大程度地实现跨境资金调拨和人民币双向资金池,盘活沉淀资金,提升流动性管理水平,提高资金保障能力。业财联动穿透管理:打通业务管理、法务、OA、产权管理等系统,将合同、订单、发票、结算、核算等信息全过程关联,全业务线上结算统一出口。实现全级次交易数据穿透监测,全流程业务数据融合贯通,在业务和结算审批过程可以追溯全业务过程和原始单据,并实现移动审批和可视化分析。连接社会化大数据、各国制裁企业名单、客商黑白名单库,形成 D 集团特色的“客商全球眼”,实时监测全球异常贸易风险、客商信用风险和挂靠经营风险,通过风险防控规则库监测和防范业务结算风险,利用数智化技术提升精益管控能力,提高业务结算效率。44全球司库 战略增值E 国企:资债统管牵引财务数字化转型升级该国企是省属重点骨干企业、省内资产规模最大的综合性国有资本投资公司,集团持股能源投资、金控集团、股权运营公司、贵研铂业、地质矿业等多领域板块,属于典型特大型平台型国有企业。在集团财务业务数字化升级过程中,构建了集团统一资金及债务管理平台,推动管理创新和数字化转型。统一管控全集团所有账户账户开设管理集权,逐级上报审批,实现集团总部统管企业开变销户流程,所有成员单位账户备案、账户可视可查、分类管理(专户)、低效账户清理,规范银企关系。账户可视:建立账户信息档案,多维度存储全量账户信息,控制账户数量,及时清理低效账户、沉睡账户。资金监控:接入银企直连,及时了解集团账户资金头寸和交易进展,保证企业资金安全,防范异常交易。计入 KPI 管理:对账户开销户办理进度慢,账户备案不及时,低效账户清理不及时、资金归集率低等计入 KPI 管理。构建集团资金中心及资金池集团资金中心定位为集团资金管理组织,在集团资金系统搭建银行资金池对应集团资金中心内部账户体系,每个成员企业在资金中心开立内部账户,形成集团资金组织管理体系。银行资金池为集团平行一级资金池,统一映射到集团资金中心虚拟资金池。由银行端总分联动机制实现“自动下拨 支付”对外支付,付款时自动下拨支付,收款自动全额实时归集。搭建业财融合统一结算体系依托财务共享,拉通前端业务及前置审批事项,打通业务与结算流程,达成一体化、标准化、统一化支付闭环,防范支付风险。搭建全周期债务统一管理平台流程统一:业财融合,信息共享、流程一体化、数据链条完整。债务可视可分析:对集团全部成员企业债务进行线上管理,贷款、发债、票据、信用证、担保等全量表内外债务实时呈现。防范刚兑违约:对全口径债务、总子两级债务还款计划实时预警、兑付预测分析、提高防风化债能力。融资成本计量:债务利息自动计算、融资费用登记分摊,精确到每个成员单位、每家金融机构成本,为动态靠谱成员单位及选择金融机构提供依据。债务融资设计:根据集团开展现有融资品种,整合梳理各品种业务特性,形成可落地融资业务线上标准规范管理平台;实现集团债务可视可查,融资规模、融资数据综合分析、刚兑预测分析等,支撑集团企业决策。构建集团票据统一管理平台搭建全方位票据管理业务体系,包括银票、财票、商票(三票)规范管理,统一管控银行票据授信额度,规范票据融资业务,实现集团票据业务规范化管理。所有成员单位,同一平台办理/登记票据业务,实现集团票据业务全流程管理、票据信息集中监控与统计分析。建设与集团资金管理体系相匹配的票据管理业务体系,包括集团银行票据融资、票据业务作业流程。搭建票据管理组织体系,协调集团财务部、共享中心、资金中心等,制定统一的票据业务管理制度、规范、流程。方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准45数智化 生态化 全球化5监管评价与司库管理能力成熟度标准 5.1.国资监管对司库体系建设的评价总书记强调:“经济是肌体,金融是血脉,两者共生共荣。”中国经济的高质量发展离不开金融的强有力支撑。司库作为企业经营管理的血脉,也同样需要为企业的高质量发展提供强有力保障,因此,国家在培育具有全球竞争力的世界一流企业的过程中,尤其重视央国企在数字化转型中对司库体系的建设情况,近年来,陆续出台了司库管理的指导性政策和监管评价标准。五大评价推进央企司库体系建设2023 年国资委出台了关于开展中央企业司库体系建设中期评价验收工作的通知并对央企建设司库的具体措施设立了评价验收标准,命名为中央企业司库体系建设中期评价验收标准,在该标准中明确提出从环境搭建、系统上线、推广使用、工作成效、数据质量等五个维度进行系统性的评价。图 29:央企司库体系建设中期评价项目管理:立项报告、项目方案等体系制度:司库管理、账户管理、资金管理等司库匹配制度系统安全管理:内外网隔离、安全保密、灾备、用户权限提交物:制度与说明材料环境搭建.数据质量数据完整性数据一致性数据唯一性数据有效性.司库管理推广率:司库系统应用范围资金集中管理率:境内全口径资金集中度、境内可归集口径资金集中度资金统一结算率:境内系统结算率提交物:台账、名录、报表、明细表推广使用.项目成效:目标、进度、成效风险防控:风险管理模块、市场风险管理战略决策支持:外部系统对接、司库数据指标体系提交物:说明材料与系统截图工作成效.提交物:业务台账与系统导出数据系统上线境内银行账户.债务融资管理.借款与融资担保.资金集中管理.资金结算管理.境外资金管理.资金预算管理.票据管理.供应链金融服务.信息系统集成.80分20分20分10分20分46全球司库 战略增值四类标准促进央企数智司库成效2024 年,央企司库体系建设二期评价标准出台,比较中期评价标准可以看出,央企司库建设从推进司库体系建设已经落实到司库建设内容的具体设计要求上,并从司库功能场景、数据中台建设、智能化应用建设和安全情况等四个维度进行详细设计标准的评分,如要求功能场景覆盖全级次应用、要求风险管控通过数学模型来识别管控,要求实现企业级数据中台的基础能力构建,要求满足安全自主可控和信创要求等内容。财务管理数智化转型升级情况:分别从财务数智化管理功能、薪酬管理数据报送及应用、佣金管理数据报送及应用 3 个提出了指导要求,明确司库系统之外要有集团统建统管的全面预算、会计核算、资产价值、费用报销、成本管理、税务管理等财务领域子模块,与司库信息系统全面集成,实现财务领域各项业务全流程线上统一管理,说明以司库为突破口和切入点的顶层设计指导着企业数字化转型进入深水区。安全情况:从信息安全和信创化两个方面给出标准要求,要求司库系统通过等保三级测评,并建立系统和数据备份,确保数据传输、存储安全;并在司库系统建设中涉及操作系统、数据库、服务器等软硬件满足信创化要求,司库作为央企自主可控的重要性信息系统的特征越发明显。功能模块上线及场景应用情况:分别从境内银行账户管理、资金集中管理、资金结算管理、境外资金管理、资金预算管理、债务融资管理、融资担保管理、票据管理、供应链金融管理、应收应付管理、战略决策支持、虚假贸易风险识别、挂靠经营识别、风险防控等 14 个专业化司库模块的建设要求进行的标准的设立,即有对功能模块的覆盖全级次场景的要求,也有具体量化的直联率、资金集中度、账户可视率等验收指标的要求,并额外增加了针对虚假贸易模型、挂靠经营的专业化数学模型场景应用的指导性标准。数据中台建设及管理情况:分别从数据标准及治理、主数据管理、数据贯通、数据管理平台、数据质量等 5 类建设标准提出的具体要求,已经从司库级的数据中台延伸到财务级数据中台、企业级数据中台的建设要求上,在司库基础功能场景建设上还需有长远的数据标准的落实,进一步促进构建企业内外部数据互联互通的“数据生态圈”。从监管对司库体系建设的指导要求来看,司库体系建设已经突破传统资金管理的范畴,在系统应用层面,更重点突出智慧内涵,发挥数智赋能特色,实时监控企业内外部资金等金融资源,实现自动分析研判、风险趋势预测等数字化司库新场景。方向与发展趋势顶层设计与应用主题司库管理数智化领先实践规划与创新场景监管评价与司库管理能力成熟度标准47数智化 生态化 全球化5.2.司库管理体系能力成熟度模型随着司库建设在领先企业的深化应用,用友在实践探索中将逐步设立行业数字化司库标准,引领数字化司库的建设风向。结合用友在央国企司库体系建设的实践经验,用友参照监管对司库体系建设的评价要求,推出企业司库管理体系能力成熟度模型 1.0,为企业构建司库管理体系提供参考性指导方向。图 31:企业司库管理体系能力成熟度模型图 30:数字化司库标准体系全集团合并范围内企业全集团合并范围内企业全集团合并范围内企业全集团合并范围内企业全集团合并范围内企业覆盖范围标准有息负债成本交易流水头寸分析资金缺口分析敞口管理资金集中度业务对象融资管理票据管理资金计划管理外汇管理资金集中管理主题域及时性标准实时T 0T 0T 1实时准确性标准系统计算日清日结1000%自动化标准自动计算与对比自动匹配自动定位最小主体缺口金额自动取数自动归集与跟踪智能化标准成本偏离度提醒管理口径多维分析自动触发预警与融资申请根绝计算逻辑计算出各主体敞口管理口径多维分析整体效益融资成本降低10%智能配票提升30%全量准确度提升10%准确度提升20%集中度提升5%数字化司库标准体系交易型司库资金交易监控保障基础交易.企业发展初期.账户管理、资金结算、统收统支等基本功能司库体系未成型缺乏资金集中管理平台.等级1等级类型目标特征适用范围核心功能司库体系阶段初级运作管控型司库资金集中管理提高使用效益.业务扩张阶段.流动性、运营资金管理等功能体系、制度和机制建设处于起步阶段初步建立资金集中管理平台.等级2被动管理运营型司库降低运营成本转变业务方向.深化运营阶段.实现资金管理的流程优化形成三层司库管理体系实现数据采集整合与分析利用.等级3稳定运行金融型司库金融资源整合优化资源配置.转型发展阶段.主动从金融管理视角提供服务和风险管理统筹集团金融业务服务体系灵活架构设计,智能技术应用.等级4主动服务战略型司库实现战略目标推动价值创造.全球发展阶段.司库全业务功能覆盖,突出数据价值应用与决策支持信息服务职能构建“1 1 2”整体司库架构司库、财务管理双主线数据资源高效发挥,提供智慧司库解决方案服务.等级5价值驱动流程标准化业务优化战略增值48全球司库 战略增值根据企业所处行业定位与财务管理的成熟情况,用友认为企业司库管理体系从初级的资金交易操作到高阶的司库价值驱动共划分为 5 个能力等级,不同的能力等级所适配的企业发展阶段与管理目标有所不同。等级 1:交易型司库成熟度结构该类型司库适配企业发展初期,主要目标是对资金交易监控提供基础交易保障,司库系统的功能主要体现在账户管理、资金结算、统收统支等资金管理功能上;司库管理体系仍是狭义的资金管理,资金运营行为不活跃,更多发挥后台支持部门的角色,对分子公司的资金管控力相对较弱。缺少完善的管理政策制度和管理体系,缺乏标准化、制度化的流程设计,资金管理的水平依赖管理人员自身能力。等级 2:管控型司库成熟度结构该类型司库适配企业扩张阶段,主要目标通过对资金集中管理和使用效率的提高上,司库系统的功能主要体现流动性、营运资金管理功能上,司库的管理体系、制度和机制建设处于起步阶段。企业开始对资金管理流程进行梳理,仍然存在新的业务没有进行制度规定,只能根据管理经验进行处理的情况,欠缺对司库管理体系的业务架构进行科学的顶层设计,未能厘清司库组织体系的职责与管理重点,缺少独立的纵向垂直管理的司库组织体系。等级 3:运营型司库成熟度结构该类型司库适配企业深化运营阶段,主要目标是对降低资金运营成本,促进业务创新,司库系统的功能主要体现在资金管理流程的优化功能上;为满足高效的资金运营机制的建立,初步形成以集团总部为资金管控中心、以财务公司或类似资金管理机构为资金运作平台、分子公司为资金运营责任主体的三层司库管理体系,通过对各业务领域的资金数据的实时采集与集中分析,辅导管理决策层布局资金资源到有精益经济价值的业务领域上。等级 4:金融型司库成熟度结构该类型司库适配转型发展阶段,主要目标是整合内外部金融资源优化生产资源配置,司库系统的功能主要体现在围绕金融服务和风险管理上;属于面向集团产业布局下统筹集团生态内的金融服务体系,具备统筹金融资源的整合和配置能力,建立灵活架构来支撑内部金融资源的自循环,自流通,自增值,实现基本现金管理职能与高级司库管理职能的划分,采取高度统筹的管理模式,在集团统一规划之下,具有清晰的顶层统筹设计和战略分工,可发挥各自专业化服务能力。等级 5:战略型司库成熟度结构该类型司库适配全球发展初期,主要目标是发挥集团资本管理作用,推动战略价值的达成,司库系统的功能主要体现在数据价值应用和智能化的生态服务功能上;形成了完备的司库管理体系架构,建立全球统一的司库管理体系,设立司库运营管理中心,搭建境内境外两大资金管理平台,司库管理组织采用自上而下的垂直管理模式;职能结构上,司库管理体系与集团财务管理部门形成各司其职又相互联系的双主线财务管理局面。司库管理体系侧重实现资金主线转型的价值最大化,财务部门则从信息决策的角度发挥决策信息支持和信息反映职责;治理结构上,形成集团司库委员会和司库运营管理中心境内外资金管理平台集团各产业集群(所属各级公司)“三位一体”的司库管理组织,分别对应总部统筹、平台实施、基层执行三个层次。尾数智化转型是企业高质量发展的重要标志。数字转型,财务先行,并赋予了财务工作新使命与新任务,司库体系作为企业财务管理的核心环节,承担着资金安全、流动性管理和风险控制的重要职责,更在推动企业数字化转型、实现财务管理智能化、赋能高质量发展等方面发挥着不可替代的作用。自 2022 年一号文以来,央企率先垂范,以实际行动践行着全员、全要素、全价值链精益管理理念,全力以赴地迎接每一次验收,全力向世界一流智慧司库迈进!每个企业在司库体系建设之路都经历着“尺木有节,寸玉有瑕”的变革之旅,从有到优、从优到卓越地迈向一流智慧司库,建设永远在路上!

    浏览量98人已浏览 发布时间2024-05-11 51页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 快快网络:2024年DDoS攻击趋势白皮书(30页).pdf

    快快网络 2024 年 DDoS 攻击趋势白皮书快快网络 2024 年 DDoS 攻击趋势白皮书1/29摘要摘要就分布式拒绝服务(DDoS)攻击趋势而言,2023 年是具有里程碑意义的一年。网络犯罪集团、出于地缘政治动机的黑客活动分子和恶意行为者利用物联网(IoT)设备构建的大规模僵尸网络以及协议级零日漏洞,对企业、政府机构以及关键但脆弱的公共基础设施(包括医院)发起了破纪录的 DDoS 攻击。在整个 2023 年,DDoS 攻击变得更加频繁、持续时间更长、复杂程度更高。其中,银行和金融服务行业是最具针对性的垂直行业。针对这些行业的攻击通常旨在造成声誉损害,或分散安全专业人员的注意力,以发动 DDoS 勒索软件混合攻击。DDoS 攻击事件愈演愈烈,成为互联网最大的网络安全威胁之一,让企业面临的网络安全风险与日俱增。通过快快网络 DDoS 团队检测数据显示:2023 年中国遭受 DDoS攻击次数达 146 万,占全球 11.74%,游戏行业仍然是受影响最严重的行业,遭受了 46%的攻击。金融行业位居第二,占 22%。电信(18%)、基础设施服务行业(7%)和计算机软件公司(3%)也成为重点目标。快快网络带来了 2024 年 DDoS 全球攻击趋势专项报告,与您分享 DDoS 攻防态势的最新趋势。快快网络 2024 年 DDoS 攻击趋势白皮书2/29快快网络 2024 年 DDoS 攻击趋势白皮书4/291.20232023 年全球年全球 DDoSDDoS 攻击情况攻击情况1.11.1 全球攻击情况全球攻击情况2023 年 DDoS 攻击总次数 1246.61 万次,同比增长 18.1%。快快网络监测数据显示,2023 年中国遭受 DDoS 攻击次数达 146万,占全球 11.74%,排名第三,第一为美国占比 41.22%,第二为荷兰。在欧洲、中东、非洲(EMEA)和亚太(APAC)地区,DDoS 攻击的数量和规模已经与北美不相上下。图 1 2023年全球 DDoS 攻击情况数据显示,攻击者越来越多地瞄准关键基础设施和服务,包括物流服务、支付处理中心和银行系统,试图影响更多的用户。平均攻击强度达到 1.4Tbps 的峰值,最长的攻击持续了 7 天。越来越多的 DDoS 攻击开始使用僵尸网络,超过 38%的 DDoS 攻击利用了感染僵尸网络的设备。此外,与上一年相比,作为多向量攻击的烟幕弹/诱饵的 DDoS 攻击增加了 28%。更具破坏性的 HTTP 攻击正变得越来越容易实施。82.3%的 DDoS攻击针对 OSI 模型的应用层(L7),11.7%针对 OSI 模型的传输(L4)和网络(L3)层。2.3%的攻击针对 DNS,其余 3.7%针对其他目标。快快网络 2024 年 DDoS 攻击趋势白皮书5/291.21.2 攻击规模攻击规模DDoS 攻击的规模和复杂程度都在不断增长,但 2023 年以不可预见的速度加速了这一趋势。甚至连安全供应商及其各自的网站也受到了攻击。2023 年 7 月,出现高达 1990 Gbps(1.99 Tbps)和710 Mpps 的超大规模 DDoS 攻击。9 月份,快快网络发现并阻止了一场大规模 DDoS 攻击。在这起攻击中,网络犯罪分子使用了 ACK、PUSH、RESET 和 SYN 洪水攻击向量的组合,峰值为 1.6 Tbps。事实证明,这些攻击与 2022 年开始的“震慑式”DDoS 攻击趋势非常一致。图 2 2023年全球 DDoS 攻击峰值图 3 2023年全球 DDoS 攻击速度2023 年,快快网络就曾检测到一起创纪录的 DDoS 攻击,其最快快网络 2024 年 DDoS 攻击趋势白皮书6/29高攻击速度为 704.8 Mpps。快快网络缓解的 10 次最大 DDoS 攻击中有 8 次都发生在过去 18 个月内。1.31.3 攻击类型攻击类型在主要攻击类型中,UDP flood 继续占据主导地位,占 DDoS攻击的 62%。TCP flood 和 ICMP 攻击也仍然很流行,分别占总数的 16%和 12%。所有其他 DDoS 攻击类型,包括 SYN、SYN ACKFlood 和 RST Flood,合计仅占 10%。虽然一些攻击者可能会使用这些更复杂的方法,但大多数攻击者仍然专注于提供大量数据包来摧毁服务器。图 4 DDoS 攻击类型1.41.4 攻击源分布攻击源分布攻击源的全球传播表明了网络威胁的无国界性质,攻击者可以跨越国界进行操作。其中美国位居第一,占 53.4%。德国(26%)、英国(25.8%)、荷兰(24.8%)、法国(23.9%)位列前 5。快快网络 2024 年 DDoS 攻击趋势白皮书7/29图 5 攻击源地理位置占比DDoS 攻击源的地理分布为制定有针对性的防御策略,以及制定旨在打击网络犯罪的国际政策提供了重要信息。然而,由于使用 IP欺骗等技术以及分布式僵尸网络的参与,确定攻击者的真实位置具有一定难度。1.5 目标目标行业行业与 2022 年游戏行业占据第一不同的是,2023 年,金融机构经历了近 30%的攻击活动,排在第一。但互联网依然是 DDoS 攻击的重灾区,占所有 DDoS 攻击的 22.2%。其他成为 DDoS 攻击目标的行业包括医疗保健(14.2%)、政府(11.5%)、运输和物流(8.64%)以及游戏(3.09%)。快快网络 2024 年 DDoS 攻击趋势白皮书8/29图 6 受影响行业占比分布快快网络 2024 年 DDoS 攻击趋势白皮书9/29快快网络 2024 年 DDoS 攻击趋势白皮书10/292.2.20232023 年国内年国内 DDoSDDoS 攻击情况攻击情况2.1 国内攻击情况国内攻击情况2023 年,攻击频次逐年增长,大流量攻击频次保持高位,2023年全年 DDoS 攻击次数同比 2021 年增长 80%,以关键信息基础设施为目标的高烈度 DDoS 攻击已跃升成为国家级网络安全威胁之首。图 7 国内攻击情况2.2 攻击目标地域分布攻击目标地域分布密集型扫段攻击导致攻击目标地域发生聚集。2023 年中国遭受DDoS 攻击最多的地域为浙江,占全国 33.17%,其次为广东、湖南、江苏、福建、山东、湖北、河南、陕西、四川。快快网络 2024 年 DDoS 攻击趋势白皮书11/29图 8 攻击目标中国大陆地域分布快快网络 2024 年 DDoS 攻击趋势白皮书12/292.3 瞬时攻击速度攀升瞬时攻击速度攀升图 9 超百 G瞬时泛洪攻击流量爬升图 10 T 级瞬时泛洪攻击流量爬升趋势快快网络 2024 年 DDoS 攻击趋势白皮书13/292023 年,从攻击时长来看,短时攻击依然常见。86%的攻击持续时间不到 1 小时,1-2 分钟的攻击占全年攻击的 23.44%。攻击者倾向于在短时间内,以极大的流量导致目标服务用户掉线、延时和抖动。从瞬时泛洪攻击速度来看,近几年瞬时泛洪攻击爬升速度持续攀升。瞬时泛洪攻击 2 秒流量即可爬升至近 500G,10 秒即可爬升至 T 级,大流量攻击爬升速度再创新高,挑战防御系统响应速度。2.4 扫段攻击扫段攻击图 11 扫段攻击频次快速增长2023 年 H2 扫段攻击频次激增,攻击手法持续演进,成为网络基础设施最大威胁。从扫段速率来看,低速扫段占比 73.91%,低速扫段单 IP 流量低,挑战传统检测算法有效性;单个 C 段攻击持续时间占比中,扫段攻击多采用“短平快”战术5 分钟的攻击占比 43.26%,挑战防御快快网络 2024 年 DDoS 攻击趋势白皮书14/29系统响应速度;扫段攻击手法中,86.96%的扫段攻击采用混合攻击手法,防御困难;从扫段攻击类型分布来看,反射攻击提升带宽拥塞威胁,虚假源泛洪攻击加大防御难度。扫段攻击因威胁范围广,扫段攻击的频次、复杂度持续攀升,攻击者惯用“短平快”战术,导致检测难、引流难、防御难、防御成本高,已成为攻击网络基础设施的惯用手段。快快网络 2024 年 DDoS 攻击趋势白皮书15/29快快网络 2024 年 DDoS 攻击趋势白皮书16/293.3.快快网络快快网络 DDoSDDoS 态势观察态势观察通过分析快快网络所保护的各个行业和地区的客户所经历的多个威胁检测,整体 DDoS 威胁呈上升趋势,且增长惊人。3.1 攻击情况攻击情况2023 年,快快网络共计成功防护 58.4 万起 DDoS 网络攻击,同比增长 151.7%。1 月-3 月 DDoS 网络攻击次数较低,6 月份、8 月份攻击次数最多,占全年 22.7%。2023 年,攻击流量峰值 Q1-Q2 季度增至 800 Gbps,2023 年Q3-Q4 季度增至 1600 Gbps(1.6 Tbps),越来越多的 DDoS 攻击开始使用僵尸网络,超过 38%的 DDoS 攻击利用了感染僵尸网络的设备。此外,与上一年相比,作为多向量攻击的烟幕弹/诱饵的 DDoS 攻击增加了 28%。图 12 快快网络 2023 年攻击流量峰值3.2 攻击类型攻击类型UDP 是迄今为止在大流量 DDoS 攻击中利用最多的协议。由于其无状态特性,UDP 允许合法服务被滥用,通过反射和放大攻击向受害者发送大量未经请求的流量。TCP SYN 和状态外数据包也被用于快快网络 2024 年 DDoS 攻击趋势白皮书17/29大容量攻击,但 TCP 协议通常作用是旨在耗尽设备和服务器上资源的攻击。在 流 量 攻 击 中,使 用 最 多 的 攻 击 向 量 是 UDP fragmentflood(43%),其次是 UDP flood(19.2%)和 TCP flood(14.4%)。图 13 DDoS 攻击类型3.3 攻击来源攻击来源攻击源的全球传播表明了网络威胁的无国界性质,攻击者可以跨越国界进行操作。其中美国位居第一,占 24%。印度尼西亚(17%)、荷兰(12%)、泰国(10%)、哥伦比亚(8%)、俄罗斯(8%)、乌克兰(5%)、墨西哥(3%)、德国(2%)和巴西(2%)位列前十,这说明全球面临着广泛的威胁。快快网络 2024 年 DDoS 攻击趋势白皮书18/29图 14 攻击来源DDoS 攻击源的地理分布为制定有针对性的防御策略,以及制定旨在打击网络犯罪的国际政策提供了重要信息。然而,由于使用 IP欺骗等技术以及分布式僵尸网络的参与,确定攻击者的真实位置具有一定难度。快快网络 2024 年 DDoS 攻击趋势白皮书19/293.4 攻击行业攻击行业图 15 受影响行业占比分布游戏行业仍然是受影响最严重的行业,遭受了 46%的攻击。金融行业位居第二,占 22%。电信(18%)、基础设施服务行业(7%)和计算机软件公司(3%)也成为重点目标。攻击者对游戏和金融领域特别感兴趣,这些行业一般具有较好的经济收益和用户基础,同时凸显了在受打击最严重的行业中需要有针对性网络安全策略的必要性。快快网络 2024 年 DDoS 攻击趋势白皮书20/29快快网络 2024 年 DDoS 攻击趋势白皮书21/294.4.典型攻防对抗案例典型攻防对抗案例4.1 接口攻防案例接口攻防案例快快网络安全团队接到某数藏平台应急响应请求,平台存在流量访问异常,用户无法登录或无法在平台进行购买下单操作现象,导致客户资产流失和声誉受损。防护难度:防护难度:该平台遭受有组织、有预谋的 DDoS 攻击,攻击目标主要是平台的 API 接口,支付接口等,攻击者通过 SYN Flood、ACK Flood、CC等多种类型攻击技术手段不断变换攻击形式。针对以上情况,快快网络提供以下解决方案:针对以上情况,快快网络提供以下解决方案:图 16 DDoS 安全防护架构部署图1、建立完善的监测预警机制,部署使用快快网络 DDoS 安全防护产品。结合快快网络自研 ADS 系统,加持机器学习及特征处置联动能力,扩大攻击可能性的捕捉范围,实时检测阻断各类 DDoS 攻击,快快网络 2024 年 DDoS 攻击趋势白皮书22/29并启动应急预案及时对攻击行为进行防护,为客户成功抵御 125G 的DDoS 攻击及百万级 CC 攻击。2、快快网络安全专家与该公司深度沟通配合和优化。定制 CC防护策略与智能防刷策略,实时检测并拦截攻击,终端用户无感知。4.2 大流量攻防案例大流量攻防案例某知名游戏公司在其运营期间遭受了大型 DDoS 流量攻击,导致游戏玩家在游玩过程中频繁遇到掉线、延迟、卡顿等问题,网络波动严重,严重影响了玩家的游戏体验。不仅如此,长时间的网络不稳定还可能导致玩家数据丢失、账号被盗等更严重的后果。防护难度:防护难度:DDoS 流量攻击规模高达 1.6T,攻击者使用了 ACK、PUSH、RESET 和 SYN 洪水攻击向量的组合。面对如此大规模复杂攻击时,快快网络安全团队快速响应,为其定制相应的 DDoS 防护解决方案,提供全方位保护。针对以上情况,快快网络提供以下解决方案:针对以上情况,快快网络提供以下解决方案:快快网络 2024 年 DDoS 攻击趋势白皮书23/29图 17 游戏盾架构部署图1、提供游戏盾 SDK 产品。通过 SDK 接入到客户的游戏 APP中,采用分布式高防御节点作为防御网关,抵御大流量 DDoS 攻击,可牵引至云堤清洗防御更大攻击。SDK 端与安全网关建立加密通信隧道,仅放行经过 SDK 和游戏安全网关鉴权的流量,彻底解决 TCP协议层的 CC 攻击。在 CC 攻击期间,CC 流量直接被防御网关拦截,未透到客户的源服务器,查看防御网关节点 CPU 使用率为 25-30%,并未达到警戒线 60%。CC 新建连接并发量达到 30w 时,无玩家反馈异常。2、基于 SDK 的网络链路诊断功能,智能选取优质网络传输路线,保证游戏时延最低,并创建断线重连机制,哪怕玩家本地 4G/wifi网络异常,也不会导致游戏掉线。快快网络 2024 年 DDoS 攻击趋势白皮书24/29快快网络 2024 年 DDoS 攻击趋势白皮书25/295.5.20242024 年可操作性策略年可操作性策略5.1 2023 年总结年总结从所有指标来看,情况正在迅速恶化。从所有指标来看,情况正在迅速恶化。自 2020 年初以来,全球 DDoS 攻击增加了 130%。每 3 秒就会发生一次新的网络攻击。全球每天大约发生 34153 次 DDoS 攻击。DDoS 攻击对任何企业来说都是昂贵的,但未受保护的企业每次攻击的平均成本为 20 万美元。即使是小型企业也受到了严重的打击平均一次 DDoS 攻击的恢复成本为 12 万美元。全球数字化程度的不断提高、政治动荡以及居家工作的广泛采用,都导致了一个容易受到 DDoS 攻击的环境。随着攻击数量和频率的增加,它们的规模、复杂程度以及最终的成功程度也在增加。当DDoS 攻击成功时,会给企业带来时间、金钱、客户和声誉损失。5.2 2024 年年 DDoS 攻击趋势攻击趋势趋势一:趋势一:DDoSDDoS 攻击持续增长攻击持续增长通过近几年从快快网络监测中心记录的大量 DDoS 攻击事件中可以发现:针对关键基础设施的攻击呈现数字化发展的特点,以DDoS 为代表的网络攻击预计会与日俱增,同时新型 DDoS 攻击从开始到攻击顶峰的时间已大幅缩短。攻击流量在短时间内达到峰值,而不是持续指数级增长。由于非常快地投放攻击载荷,这种“增强版攻击”会在常规保护措施发挥功效前就已导致网络系统瘫痪。这个趋势仍会持续,这类迅速爆发的 DDoS 攻击会越来越多。同时,快快网络 2024 年 DDoS 攻击趋势白皮书26/29DDoS 攻击继续会有更大的体量(每秒比特数和每秒数据包数)、持续时间也更长,这主要是由于物联网设备数量激增,加上网络犯罪分子可以调用托管云上更多不安全的计算能力和容量。趋势二:趋势二:恶意生成式恶意生成式 AIAI 将进一步加剧攻防不对等将进一步加剧攻防不对等2024 年,恶意生成式 AI 或将引发大规模网络攻击活动。生成式 AI 全面降低网络攻击的门槛,并更广泛地用于提高钓鱼邮件和社会工程攻击的专业化水平,使得勒索软件更容易进到企业。同时,生成式 AI 的攻击内容更加难以被辨别,尤其是借助 Bot 自动化攻击手段,让攻击者可以更快速、准确地扫描漏洞或对网络发起攻击,大幅增加网络攻击的波及面和有效性。这给原本处于攻防弱势的防护方以更大的管理和技术挑战,安全企业、厂商、服务商需要更多的创新、共享、协同,来应对这一巨大挑战。趋势趋势三三:构建整体全面的网络安全韧性将是企业重要战略之一构建整体全面的网络安全韧性将是企业重要战略之一随着地缘政治、新冠疫情、技术变革等诸多因素的演变,“韧性”成为高频词,出现在各种复杂问题解决方案中。网络安全韧性是指企业组织在面临包括网络安全攻击、服务中断等在内的各种网络安全事件不利影响的局面下,能够继续企业业务运营并保持增长的能力。换句话而言,网络安全韧性是数字连续性在网络安全方面的具体展现,是属于企业整体数字连续性(以及业务连续性)的其中一部分。塑造一个既能够有效抵御风险,又可以实现快速恢复,具有更强韧性的网络安全架构事关重大。企业组织应该在战略层面上思考如何加强其关键系统、IT 基础设施和数据中心的数字连续性,以便在面对业务中断、网络安全威胁攻击、人为错误等不利局面时保持韧性。快快网络 2024 年 DDoS 攻击趋势白皮书27/295.3 防护策略防护策略如果说 2023 年是企业、政府机构和关键公共基础设施被高度复杂的网络攻击无情锁定的一年,那么可以肯定的是,网络犯罪分子将在 2024 年设定更高的目标。可被感染并变成僵尸网络的数字设备的激增,EMEA 和 APAC 地区数字基础设施的快速普及,以及欧洲和中东地区持续的地缘政治紧张局势,将继续营造一个混乱的环境,这对有动机的网络罪犯来说无疑是有利的。在这种情况下,快快网络建议企业采取以下三个可行策略:积极准备积极准备 DDoSDDoS 防护态势防护态势发动 DDoS 攻击的成本相对较低,特别是随着 DDoS 服务的普及,这使它们成为恶意行为者手中强有力的网络犯罪武器。虽然无法阻止 DDoS 攻击,但采取以下步骤可以最大限度地保护组织的数字资产免受此类攻击:检查组织所有的关键子网和 IP 空间,确保具备适当的缓解控制措施。以“始终在线”的防护态势部署 DDoS 安全控制措施作为第一层防御,以避免紧急集成场景,并减轻事件响应者的负担。主动指定一个危机响应小组,并确保运行手册和事件响应计划是最新的。当真的受到攻击时,不至于感到猝不及防。使用混合保护平台备份本地 DDoS 保护,该平台可防止使本地设备过载的攻击。通过网络云防火墙设置主动安全控制,将组织的安全态势扩展到基本 DDoS 保护之外。最后,利用知名和久经考验的 DDoS 团队的专业知识和经验来减轻来自关键内部资源的压力。快快网络 2024 年 DDoS 攻击趋势白皮书28/29保护保护 DNSDNS 基础设施基础设施DNS 基础设施重新成为 DDoS 攻击的主要目标。如果组织的 DNS出现故障,那么在线状态也会出现故障。攻击可能并不总是以使DNS 名称服务器瘫痪为目标。相反地,它可能只是希望实现资源耗尽,并降低全局服务器负载平衡性能,从而致使合法请求受到影响。在某些情况下,保护 DNS 基础架构的安全性和性能可能具有挑战性。很多时候,传统的 DNS 防火墙不能提供足够的保护。最优的解决方案应该是具备以下特征的混合平台:保护本地和云中的 DNS 区域免受各种攻击,包括 DNS 水刑(DNSwater torture)、DNS 洪水等;直观、轻松地管理策略和 IP 允许列表,并实时提供可操作的分析,帮助组织采取主动的安全态势;通过使用高度分布式的物理访问点(point-of-presence)基础设施来从最近的位置响应用户,从而提高 DNS 性能。快快网络 2024 年 DDoS 攻击趋势白皮书29/29结语结语在当前互联网形势下,DDoS 攻击呈现出攻击威力逐渐增强、攻击频率不断上升、攻击方式日趋多样化等趋势,在可预见的未来,DDoS 依然是流行的网络犯罪手段,为保障网络环境的安全性,急需采用有效的防御策略,不断加强网络安全意识教育,提高设备管理和容灾能力,以应对日益增长的 DDoS 攻击威胁。

    浏览量19人已浏览 发布时间2024-05-11 30页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
3818条  共191
前往
客服
商务合作
小程序
服务号
会员动态
会员动态 会员动态:

wei**n_... 升级为至尊VIP 185**12... 升级为标准VIP

mi**c 升级为至尊VIP z** 升级为至尊VIP

bla**12... 升级为至尊VIP bla**12... 升级为标准VIP

191**37... 升级为至尊VIP wei**n_... 升级为至尊VIP

181**63... 升级为至尊VIP wei**n_... 升级为标准VIP

wei**n_... 升级为至尊VIP wei**n_... 升级为至尊VIP

ROS**LL 升级为标准VIP 138**15... 升级为至尊VIP

wei**n_... 升级为标准VIP 138**35... 升级为至尊VIP

156**19... 升级为至尊VIP 156**02... 升级为至尊VIP

177**17... 升级为标准VIP wei**n_... 升级为标准VIP

187**23... 升级为高级VIP 139**79... 升级为至尊VIP

wei**n_... 升级为标准VIP 173**43... 升级为高级VIP

wei**n_... 升级为标准VIP 风**... 升级为至尊VIP

188**96... 升级为高级VIP 138**87... 升级为标准VIP

摇**... 升级为高级VIP wei**n_... 升级为至尊VIP

wei**n_... 升级为高级VIP wei**n_... 升级为高级VIP

137**24... 升级为至尊VIP wei**n_... 升级为高级VIP

wei**n_... 升级为高级VIP wei**n_... 升级为至尊VIP

wei**n_... 升级为高级VIP wei**n_... 升级为标准VIP

wei**n_... 升级为标准VIP wei**n_... 升级为至尊VIP

wei**n_... 升级为标准VIP wei**n_... 升级为至尊VIP

158**10... 升级为标准VIP 186**81... 升级为高级VIP

wei**n_... 升级为至尊VIP 131**84... 升级为高级VIP

wei**n_... 升级为高级VIP wei**n_... 升级为高级VIP

郭** 升级为至尊VIP wei**n_... 升级为高级VIP

wei**n_... 升级为高级VIP wei**n_... 升级为标准VIP

彭**... 升级为高级VIP wei**n_... 升级为至尊VIP

137**80... 升级为至尊VIP wei**n_... 升级为高级VIP

173**26... 升级为高级VIP 186**02... 升级为至尊VIP

138**63... 升级为标准VIP 微**... 升级为标准VIP

wei**n_... 升级为至尊VIP 何**... 升级为至尊VIP

wei**n_... 升级为高级VIP 吴**... 升级为至尊VIP

木**c 升级为至尊VIP 微**... 升级为标准VIP

wei**n_... 升级为至尊VIP 微**... 升级为至尊VIP

大**... 升级为高级VIP wei**n_... 升级为至尊VIP

wei**n_... 升级为至尊VIP 136**87... 升级为标准VIP

wei**n_... 升级为高级VIP wei**n_... 升级为至尊VIP

wei**n_... 升级为高级VIP 137**85... 升级为标准VIP

wei**n_... 升级为高级VIP wei**n_... 升级为至尊VIP

135**81... 升级为至尊VIP wei**n_... 升级为高级VIP

137**39... 升级为高级VIP 185**26... 升级为至尊VIP

wei**n_... 升级为高级VIP jxf**yz 升级为至尊VIP

wei**n_... 升级为标准VIP wei**n_... 升级为标准VIP

wei**n_... 升级为标准VIP wei**n_... 升级为至尊VIP

185**63... 升级为至尊VIP 152**78... 升级为标准VIP

wei**n_... 升级为至尊VIP 182**56... 升级为至尊VIP

185**34... 升级为至尊VIP 185**34... 升级为标准VIP

178**05... 升级为高级VIP gd**xy 升级为至尊VIP

wei**n_... 升级为至尊VIP 186**33... 升级为至尊VIP

186**48... 升级为高级VIP 杨**C... 升级为标准VIP